Morphisec 威胁实验室最近发现了导致威胁行为者 UAC-0184 的多个攻击指标。这一发现揭示了臭名昭著的 IDAT 加载程序向位于芬兰的乌克兰实体传送 Remcos 远程访问木马 (RAT) 的情况。
介绍
本博客探讨了攻击的更广泛的执行过程,强调了关键的独特方面,包括 IDAT 加载程序的使用以及针对芬兰乌克兰实体的攻击。CERT-UA(在乌克兰编写)和Uptycs之前已审查了相关 Remcos RAT 攻击的详细技术发现,描述了妥协指标 (IoC) 和详细的 TTP。
针对芬兰的乌克兰实体
虽然对手战略性地瞄准了位于乌克兰的实体,但他们显然试图扩展到与乌克兰有联系的其他实体。Morphisec 的调查结果让一个更具体的目标成为焦点——总部位于芬兰的乌克兰实体(注:由于保密原因,无法披露目标的技术信息)。
隐写术的使用(MITRE ID:T1001.002)
作为 IDAT 加载程序的一部分,该攻击使用隐写术作为技术。虽然隐写术或“Stego”技术众所周知,但了解它们在防御规避中的作用非常重要,以便更好地了解如何防御此类策略。
隐写术用于混淆图像或视频中的恶意代码或文件,将有效负载分布在媒体的像素数据中,使其难以检测。
例如,像素深度为 24 位(1670 万色)的图像可能在每个像素的最低有效位 (LSB) 中包含嵌入代码,而不会改变图片的外观。
虽然媒体文件可能会被扫描,但由于恶意有效负载被混淆,它可以逃避基于签名的检测,从而允许恶意软件加载程序成功删除媒体、提取恶意有效负载并在内存中执行它。在这种情况下,图像看起来明显扭曲,但混淆足以逃避防御。
隐写技术用于有效负载混淆(图片来源:The Hacker News )
Remcos
Remcos是一种商业远程访问木马 (RAT)。Morphisec 之前描述了Remcos 木马,该木马允许攻击者快速轻松地控制受感染的计算机、窃取个人信息并监视受害者的活动。所有这一切都无需投入时间或开发具有远程管理功能的工具。Morphisec 还涵盖了 Remcos 作为Guloader中的有效负载以及Babadeda 加密器中的有效负载。
Morphisec 对主动防御的承诺对于保护客户免受这种高度复杂的威胁至关重要,我们的保护机制在攻击的早期阶段就启动了。
检测时间轴见解
虽然 Morphisec 阻止了多次攻击,但可以突出显示特定事件。在 2024 年 1 月的前几周,Morphisec 的主动防御机制阻止了这一恶意活动的执行;早期发现发挥了关键作用,为遏制和事件响应措施提供了关键时间。几天后发布了官方 UA Cert 安全警报(验证了威胁)。Morphisec 的研究揭示了这一点,随后的攻击与 UA Cert 的警报共享共同的工件,但也存在多个差异。
这一时间表强调了 Morphisec 的积极主动立场,因为安全警报确认 Morphisec 已解决了威胁。
以下屏幕截图展示了事件时间线:
Morphisec 的机制在 CERT-UA 公开披露前几天阻止了威胁
交付洞察
下面的屏幕截图根据乌克兰 CERT (UA CERT) 提供的信息提供了更多详细信息。这些细节描述了以招募第三独立突击旅和以色列国防军(IDF)为幌子所使用的欺骗性招募策略。
相关的 Remcos RAT 攻击以网络钓鱼电子邮件的形式发送,声称来自以色列国防军顾问(来源:Uptcycs)
有效负载传送流程图
该流程图更清楚地说明了 IDAT 加载程序尝试交付 Remcos RAT 的情况。它说明了整个主要执行过程中攻击的关键阶段。
IDAT 加载器概述
IDAT 是一种高级加载程序,可加载各种恶意软件系列,包括 Danabot、SystemBC 和 RedLine Stealer。IDAT 以其模块化架构而著称,采用了代码注入和执行模块等独特功能,使其有别于传统的加载器。
它采用动态加载 Windows API 函数、HTTP 连接测试、进程阻止列表和系统调用等复杂技术来逃避检测。IDAT 的感染过程分多个阶段展开,每个阶段都有不同的功能。
初始阶段下载或加载第二阶段,其中包含模块表和主要仪器 shellcode。第二阶段将此 shellcode 注入合法的 DLL 或新进程中。随后,主检测 shellcode 解密并执行最终的有效负载,根据文件类型和配置标志调整其注入或执行。
有趣的是,在这种情况下,IDAT 模块嵌入在主要可执行文件中,通常从远程服务器下载。
分析的IDAT代码负责加载IDAT模块,已经被其他安全研究人员观察到,包括HijackLoader | ThretLabz (zscaler.com) 。
IDAT 加载程序 TTP
IDAT Loader 是一种网络威胁,揭示了一系列独特的策略、技术和程序 (TTP)。这项探索分析了 IDAT Loader 与当前活动的关系,并有意避免与之前的活动有明确的联系,以突出其在 IDAT Loader 操作当前框架中的战略地位。
注意:威胁研究人员 Yoroi 之前在《网络入侵创新:TA544 的演变》中描述了如何使用 IDAT 加载程序来提供 Remcos RAT 。
以下屏幕截图显示了主要可执行文件,重点关注恶意代码。在代码中,可以观察到已建立连接,随后从“ hxxps://aveclagare[.]org/wp-content/plugins/wpstream/public/js/youtube.min.js”启动下载.'
该代码使用独特的用户代理“racon”,它有多种用途。
首先,它在活动交付链中发挥着关键作用,此外还检查活动的连接性和所谓的分析。
此代码的目的是解密 API 名称“ InitOnceExecuteOnce”(用于将执行点转移到恶意软件代码的下一阶段)并在运行时解析它以成功。URL 下载需要返回'(func'作为内容响应,以用作解密的密钥。
在后续代码块中,主要目标是使用与之前相同的密钥解密代码块:'(func'。接下来,代码将动态解析VirtualProtect以使用它,并将.text节权限修改为RWX。
随后,它将以下阶段代码复制到.text部分中的预定义函数位置,并通过常规调用将执行点转移到刚刚复制的代码,这与“InitOnceExecuteOnce ”的用法不同。
利用隐写术进行防御规避
如前所述,IDAT 加载程序在模块化基础上运行。其配置涉及利用嵌入式隐写 PNG 来定位和提取有效负载,以值0xEA79A5C6为起点进行识别。
提取的代码
显示 IDAT 加载器编码的图像像素数据
包含嵌入代码的原始图像
代码注入
在下一阶段,目标是加载名为“PLA.dll”(性能日志和警报)的合法库,该攻击选择该库将后续阶段代码注入到加载的合法库中,否则通称为“模块” Stomping”,一种以逃避安全解决方案而闻名的技术。
妥协指标 (IOC)
出于客户保密的考虑,以下是针对这些已阻止攻击的 IOC 的摘要。
详细的 IOC 列表可以在CERT-UA公告中找到。
参考链接: https://blog.morphisec.com/unveiling-uac-0184-the-remcos-rat-steganography-saga
图片来源网络目标可联系删除
