介绍

2024年 2月 28日 71.8k 0

Morphisec 威胁实验室最近发现了导致威胁行为者 UAC-0184 的多个攻击指标。这一发现揭示了臭名昭著的 IDAT 加载程序向位于芬兰的乌克兰实体传送 Remcos 远程访问木马 (RAT) 的情况。  

介绍

本博客探讨了攻击的更广泛的执行过程,强调了关键的独特方面,包括 IDAT 加载程序的使用以及针对芬兰乌克兰实体的攻击。CERT-UA(在乌克兰编写)和Uptycs之前已审查了相关 Remcos RAT 攻击的详细技术发现,描述了妥协指标 (IoC) 和详细的 TTP。  

针对芬兰的乌克兰实体

虽然对手战略性地瞄准了位于乌克兰的实体,但他们显然试图扩展到与乌克兰有联系的其他实体。Morphisec 的调查结果让一个更具体的目标成为焦点——总部位于芬兰的乌克兰实体(注:由于保密原因,无法披露目标的技术信息)。  

隐写术的使用(MITRE ID:T1001.002)

作为 IDAT 加载程序的一部分,该攻击使用隐写术作为技术。虽然隐写术或“Stego”技术众所周知,但了解它们在防御规避中的作用非常重要,以便更好地了解如何防御此类策略。

隐写术用于混淆图像或视频中的恶意代码或文件,将有效负载分布在媒体的像素数据中,使其难以检测。  

例如,像素深度为 24 位(1670 万色)的图像可能在每个像素的最低有效位 (LSB) 中包含嵌入代码,而不会改变图片的外观。  

虽然媒体文件可能会被扫描,但由于恶意有效负载被混淆,它可以逃避基于签名的检测,从而允许恶意软件加载程序成功删除媒体、提取恶意有效负载并在内存中执行它。在这种情况下,图像看起来明显扭曲,但混淆足以逃避防御。

隐写技术用于有效负载混淆(图片来源:The Hacker News )

Remcos

Remcos是一种商业远程访问木马 (RAT)。Morphisec 之前描述了Remcos 木马,该木马允许攻击者快速轻松地控制受感染的计算机、窃取个人信息并监视受害者的活动。所有这一切都无需投入时间或开发具有远程管理功能的工具。Morphisec 还涵盖了 Remcos 作为Guloader中的有效负载以及Babadeda 加密器中的有效负载。

Morphisec 对主动防御的承诺对于保护客户免受这种高度复杂的威胁至关重要,我们的保护机制在攻击的早期阶段就启动了。  

检测时间轴见解

虽然 Morphisec 阻止了多次攻击,但可以突出显示特定事件。在 2024 年 1 月的前几周,Morphisec 的主动防御机制阻止了这一恶意活动的执行;早期发现发挥了关键作用,为遏制和事件响应措施提供了关键时间。几天后发布了官方 UA Cert 安全警报(验证了威胁)。Morphisec 的研究揭示了这一点,随后的攻击与 UA Cert 的警报共享共同的工件,但也存在多个差异。

这一时间表强调了 Morphisec 的积极主动立场,因为安全警报确认 Morphisec 已解决了威胁。

以下屏幕截图展示了事件时间线:

Morphisec 的机制在 CERT-UA 公开披露前几天阻止了威胁

交付洞察

下面的屏幕截图根据乌克兰 CERT (UA CERT) 提供的信息提供了更多详细信息。这些细节描述了以招募第三独立突击旅和以色列国防军(IDF)为幌子所使用的欺骗性招募策略。

相关的 Remcos RAT 攻击以网络钓鱼电子邮件的形式发送,声称来自以色列国防军顾问(来源:Uptcycs)

有效负载传送流程图

该流程图更清楚地说明了 IDAT 加载程序尝试交付 Remcos RAT 的情况。它说明了整个主要执行过程中攻击的关键阶段。

IDAT 加载器概述

IDAT 是一种高级加载程序,可加载各种恶意软件系列,包括 Danabot、SystemBC 和 RedLine Stealer。IDAT 以其模块化架构而著称,采用了代码注入和执行模块等独特功能,使其有别于传统的加载器。  

它采用动态加载 Windows API 函数、HTTP 连接测试、进程阻止列表和系统调用等复杂技术来逃避检测。IDAT 的感染过程分多个阶段展开,每个阶段都有不同的功能。  

初始阶段下载或加载第二阶段,其中包含模块表和主要仪器 shellcode。第二阶段将此 shellcode 注入合法的 DLL 或新进程中。随后,主检测 shellcode 解密并执行最终的有效负载,根据文件类型和配置标志调整其注入或执行。  

有趣的是,在这种情况下,IDAT 模块嵌入在主要可执行文件中,通常从远程服务器下载。

分析的IDAT代码负责加载IDAT模块,已经被其他安全研究人员观察到,包括HijackLoader | ThretLabz (zscaler.com) 。

IDAT 加载程序 TTP  

IDAT Loader 是一种网络威胁,揭示了一系列独特的策略、技术和程序 (TTP)。这项探索分析了 IDAT Loader 与当前活动的关系,并有意避免与之前的活动有明确的联系,以突出其在 IDAT Loader 操作当前框架中的战略地位。  

注意:威胁研究人员 Yoroi 之前在《网络入侵创新:TA544 的演变》中描述了如何使用 IDAT 加载程序来提供 Remcos RAT 。

以下屏幕截图显示了主要可执行文件,重点关注恶意代码。在代码中,可以观察到已建立连接,随后从“ hxxps://aveclagare[.]org/wp-content/plugins/wpstream/public/js/youtube.min.js”启动下载.'  

该代码使用独特的用户代理“racon”,它有多种用途。  

首先,它在活动交付链中发挥着关键作用,此外还检查活动的连接性和所谓的分析。

此代码的目的是解密 API 名称“ InitOnceExecuteOnce”(用于将执行点转移到恶意软件代码的下一阶段)并在运行时解析它以成功。URL 下载需要返回'(func'作为内容响应,以用作解密的密钥。

在后续代码块中,主要目标是使用与之前相同的密钥解密代码块:'(func'。接下来,代码将动态解析VirtualProtect以使用它,并将.text节权限修改为RWX。  

随后,它将以下阶段代码复制到.text部分中的预定义函数位置,并通过常规调用将执行点转移到刚刚复制的代码,这与“InitOnceExecuteOnce ”的用法不同。

利用隐写术进行防御规避

如前所述,IDAT 加载程序在模块化基础上运行。其配置涉及利用嵌入式隐写 PNG 来定位和提取有效负载,以值0xEA79A5C6为起点进行识别。

提取的代码

显示 IDAT 加载器编码的图像像素数据

包含嵌入代码的原始图像

代码注入

在下一阶段,目标是加载名为“PLA.dll”(性能日志和警报)的合法库,该攻击选择该库将后续阶段代码注入到加载的合法库中,否则通称为“模块” Stomping”,一种以逃避安全解决方案而闻名的技术。  

妥协指标 (IOC)

出于客户保密的考虑,以下是针对这些已阻止攻击的 IOC 的摘要。  

详细的 IOC 列表可以在CERT-UA公告中找到。

参考链接: https://blog.morphisec.com/unveiling-uac-0184-the-remcos-rat-steganography-saga

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论