Die berüchtigte Cybercrime-Bande UAC-0050 hat kürzlich ihre Angriffsmethoden aktualisiert und verwendet eine Reihe neuer Phishing-Techniken, um dieFerngesteuerter Trojaner (Computer) Remcos RATDie Uptycs-Sicherheitsforscher Karthickkumar Kathiresan und Shilpesh Trivedi stellten in einem am Mittwoch veröffentlichten Bericht fest: "Remcos RAT war die Hauptwaffe von UAC-0050, einer Malware, die für ihre Fernüberwachungs- und -steuerungsfähigkeiten bekannt ist. Remcos RAT ist die Hauptwaffe von UAC-0050, einer Malware, die für ihre Fernüberwachungs- und -steuerungsfähigkeiten bekannt ist und ein leistungsfähiges Werkzeug für ihre Spionageoperationen darstellt."
"Im neuesten Angriff führt UAC-0050 jedoch eine Pipeline-Kommunikationsmethode für die Kommunikation zwischen den Prozessen ein und beweist damit seine hohe Anpassungsfähigkeit."
Die UAC-0050 ist seit 2020 aktiv und hat es auf ukrainische und polnische Einrichtungen abgesehen, indem sie sich als rechtmäßige Organisation der Europäischen Union tarnt.Social EngineeringDas Opfer wird dazu verleitet, einen bösartigen Anhang zu öffnen.
Im Februar 2023 brachte das ukrainische Computer Emergency Response Team (CERT-UA) die Organisation mit einer Phishing-Kampagne in Verbindung, die Remcos RAT verbreitete. In den letzten Monaten hat UAC-0050 mindestens drei verschiedenePhishing-Angriff (Computertechnik)In einem Fall wurde der Meduza Stealer eingesetzt.InformationsdiebstahlWerkzeuge.
Die Analyse von Uptycs stützt sich auf eine LNK-Datei, die am 21. Dezember 2023 entdeckt wurde.2 Die LNK-Datei wurde von Uptycs im Rahmen einer Phishing-Mission an das ukrainische Militär entdeckt. Es ist zwar unklar, wie das ursprüngliche Eindringen erfolgte, aber es wird vermutet, dass die Datei über Phishing-E-Mails an das ukrainische Militär versandt wurde, in denen behauptet wurde, es würden Beratungspositionen bei den israelischen Verteidigungskräften (IDF) angeboten.
Diese LNK-Datei sammelt Informationen über die auf dem Zielcomputer installierte Antivirensoftware und verwendet dann die lokale Windows-Binärdatei mshta.exe, um eine HTML-Anwendung namens "6.hta" vom Remote-Server abzurufen und auszuführen. Dieser Schritt ebnet den Weg für die Ausführung eines PowerShell-Skripts, das ein weiteres PowerShell-Skript von der new-tech-savvy[.] com-Domäne extrahiert, um zwei Dateien namens "word_update.exe" und "ofer.docx" herunterzuladen.
Beim Ausführen von word_update.exe wird eine eigene Kopie unter dem Namen fmTask_dbg.exe erstellt, und die Persistenz wird durch die Erstellung einer Verknüpfung zu der neuen ausführbaren Datei im Windows-Startordner erreicht.
Die Binärdatei verwendet außerdem eine unbenannte Pipe, um den Datenaustausch zwischen sich selbst und dem erzeugten cmd.exe-Unterprozess zu erleichtern, und entschlüsselt und startet schließlich Remcos RAT (Version 4.9.2 Pro), einen Trojaner, der in der Lage ist, Systemdaten, Cookies und Anmeldeinformationen von Webbrowsern, wie Internet Explorer, Mozilla Firefox und Google Chrome).
Die Forscher erklärten: "Die Verwendung von Pipes im Windows-Betriebssystem bietet einen verdeckten Datenübertragungskanal, der die Erkennung durch Endpoint Detection and Response (EDR) und Antiviren-Systeme geschickt umgeht. Die Technik ist zwar nicht völlig neu, aber sie stellt einen wichtigen Schritt in der Raffinesse der Angriffsmethoden der Organisation dar".
Originalartikel von SnowFlake, bei Vervielfältigung bitte angeben: https://cncso.com/de/uac-0050-group-new-phishing-tactics-to-distribute-remcos-rat.html
