UAC-0050组织更新钓鱼手法,部署远控木马 Remcos RAT

Remcos RAT 是一款功能强大的远控木马,能够窃取系统数据、Cookie 以及网络浏览器的登录信息。UAC-0050 将其用于间谍活动,针对乌克兰和波兰实体进行情报收集。

臭名昭著的网络犯罪团伙 UAC-0050 最近更新了攻击手段,利用一系列全新的钓鱼技术传播远控木马 Remcos RAT,企图绕过安全软件的查杀。Uptycs 安全研究人员 Karthickkumar Kathiresan 和 Shilpesh Trivedi 在周三发布的报告中指出:“Remcos RAT 一直是 UAC-0050 的主要武器,该恶意软件以远程监控和控制功能著称,是其间谍行动的利器。”

“然而,最新的攻击中,UAC-0050 引入了管道通信方式进行进程间通信,展示了其高超的适应能力。”

UAC-0050 自 2020 年开始活跃,一直以乌克兰和波兰实体为目标,通过伪装成合法组织的社交工程手段诱骗受害者打开恶意附件。

2023 年 2 月,乌克兰计算机应急响应小组 (CERT-UA) 将该组织与一项传播 Remcos RAT 的钓鱼活动联系起来。过去几个月,UAC-0050 至少发动了三次不同的钓鱼攻击,其中一次还部署了名为 Meduza Stealer 的信息窃取工具。

Uptycs 的分析基于 2023 年 12 月 21 日发现的一个 LNK 文件。虽然目前尚不清楚具体的初始入侵方式,但怀疑该文件可能是通过针对乌克兰军方的钓鱼邮件发送,邮件声称提供以色列国防军 (IDF) 的咨询职位。

UAC-0050组织更新钓鱼手法,部署远控木马 Remcos RAT

该 LNK 文件会收集目标计算机上安装的防病毒软件信息,然后使用 Windows 本地二进制文件 mshta.exe 从远程服务器检索并执行名为 “6.hta” 的 HTML 应用程序。此步骤为运行 PowerShell 脚本铺平了道路,该脚本会解压缩另一个 PowerShell 脚本,从 new-tech-savvy[.]com 域下载名为 “word_update.exe” 和 “ofer.docx” 的两个文件。

运行 word_update.exe 会使其以 fmTask_dbg.exe 的名称创建自己的副本,并通过在 Windows 启动文件夹中创建指向新可执行文件的快捷方式来实现持久性。

该二进制文件还使用无名管道来促进自身与生成的 cmd.exe 子进程之间的数据交换,最终解密并启动 Remcos RAT (版本 4.9.2 Pro),该木马能够窃取系统数据、Cookie 以及网络浏览器(如 Internet Explorer、Mozilla Firefox 和 Google Chrome)的登录信息。

研究人员表示:“在 Windows 操作系统中利用管道提供了一个隐蔽的数据传输通道,巧妙地绕过了端点检测和响应 (EDR) 以及防病毒系统的检测。虽然该技术并不是完全新颖,但它标志着该组织攻击手段的复杂性迈出了重要一步。”

原创文章,作者:SnowFlake,如若转载,请注明出处:https://www.cncso.com/uac-0050-group-new-phishing-tactics-to-distribute-remcos-rat.html

(0)
上一篇 2024年1月4日 下午7:15
下一篇 2024年1月5日 下午7:00

相关推荐

发表回复

登录后才能评论