악명 높은 사이버 범죄 조직인 UAC-0050은 최근 공격 방법론을 업데이트하여 다양한 새로운 피싱 기법을 사용하여 다음을 확산시키고 있습니다.원격 제어 트로이 목마(컴퓨팅) Remcos RAT보안 소프트웨어 검사를 우회하기 위한 시도입니다.Uptcs의 보안 연구원 Karthickkumar Kathiresan과 Shilpesh Trivedi는 수요일에 발표된 보고서에서 "원격 모니터링 및 제어 기능으로 알려진 멀웨어인 UAC-0050의 주요 무기는 Remcos RAT입니다. 원격 모니터링 및 제어 기능으로 잘 알려져 있으며 스파이 활동을 위한 강력한 도구로 사용됩니다."
"하지만 최근 공격에서 UAC-0050은 프로세스 간 통신을 위한 파이프라인 통신 방식을 도입하여 높은 수준의 적응성을 입증했습니다."
UAC-0050은 2020년부터 활동해 왔으며, 합법적인 조직으로 위장하여 우크라이나와 폴란드 단체를 표적으로 삼고 있습니다.사회 공학피해자는 속아서 악성 첨부 파일을 열게 됩니다.
2023년 2월, 우크라이나 컴퓨터 긴급 대응팀(CERT-UA)은 이 조직을 렘코스랫을 유포하는 피싱 캠페인과 연결시켰습니다. 지난 몇 달 동안 UAC-0050은 최소 세 가지의 다른피싱 공격(컴퓨팅)한 사례에서는 메두자 스틸러가 배치되었습니다.정보 도용도구.
이 분석은 2023년 12월 21일에 발견된 LNK 파일을 기반으로 합니다.2 이 LNK 파일은 우크라이나 군을 대상으로 피싱 임무를 수행하는 과정에서 Uptycs에 의해 발견되었습니다. 최초 침입 경로는 정확히 밝혀지지 않았지만, 이스라엘 방위군(IDF)에 자문직을 제공한다고 주장한 우크라이나 군을 대상으로 한 피싱 이메일을 통해 파일이 전송된 것으로 의심됩니다.
이 LNK 파일은 대상 컴퓨터에 설치된 바이러스 백신 소프트웨어에 대한 정보를 수집한 다음 Windows 로컬 바이너리 파일 mshta.exe를 사용하여 원격 서버에서 "6.hta"라는 이름의 HTML 애플리케이션을 검색하고 실행합니다. 이 단계는 새로운 기술에 정통한[.] com 도메인에서 "word_update.exe"와 "offer.docx"라는 두 개의 파일을 다운로드합니다.
word_update.exe를 실행하면 fmTask_dbg.exe라는 이름으로 자체 복사본이 생성되며, Windows 시작 폴더에 새 실행 파일의 바로 가기를 만들어 지속성을 확보할 수 있습니다.
이 바이너리는 또한 이름 없는 파이프를 사용하여 자신과 스폰된 cmd.exe 하위 프로세스 간에 데이터 교환을 용이하게 하고, 결국에는 인터넷 익스플로러, 모질라 파이어폭스, 구글 크롬과 같은 웹 브라우저에서 시스템 데이터, 쿠키, 로그인 정보를 훔칠 수 있는 트로이 목마인 Remcos RAT(버전 4.9.2 Pro)를 복호화하여 실행합니다. 구글 크롬).
연구원들은 "Windows 운영 체제에서 파이프를 사용하면 엔드포인트 탐지 및 대응(EDR)과 안티바이러스 시스템의 탐지를 교묘하게 우회하는 은밀한 데이터 전송 채널이 제공됩니다. 이 기법이 완전히 새로운 것은 아니지만, 조직의 공격 방법이 정교해지는 중요한 단계입니다."
SnowFlake의 원본 기사, 전재 시 출처 표시: https://www.cncso.com/kr/uac-0050-group-new-phishing-tactics-to-distribute-remcos-rat.html
