臭名昭著的网络犯罪团伙 UAC-0050 最近更新了攻击手段,利用一系列全新的钓鱼技术传播远控木马 Remcos RAT,企图绕过安全软件的查杀。Uptycs 安全研究人员 Karthickkumar Kathiresan 和 Shilpesh Trivedi 在周三发布的报告中指出:“Remcos RAT 一直是 UAC-0050 的主要武器,该恶意软件以远程监控和控制功能著称,是其间谍行动的利器。”
“然而,最新的攻击中,UAC-0050 引入了管道通信方式进行进程间通信,展示了其高超的适应能力。”
UAC-0050 自 2020 年开始活跃,一直以乌克兰和波兰实体为目标,通过伪装成合法组织的社交工程手段诱骗受害者打开恶意附件。
2023 年 2 月,乌克兰计算机应急响应小组 (CERT-UA) 将该组织与一项传播 Remcos RAT 的钓鱼活动联系起来。过去几个月,UAC-0050 至少发动了三次不同的钓鱼攻击,其中一次还部署了名为 Meduza Stealer 的信息窃取工具。
Uptycs 的分析基于 2023 年 12 月 21 日发现的一个 LNK 文件。虽然目前尚不清楚具体的初始入侵方式,但怀疑该文件可能是通过针对乌克兰军方的钓鱼邮件发送,邮件声称提供以色列国防军 (IDF) 的咨询职位。
该 LNK 文件会收集目标计算机上安装的防病毒软件信息,然后使用 Windows 本地二进制文件 mshta.exe 从远程服务器检索并执行名为 “6.hta” 的 HTML 应用程序。此步骤为运行 PowerShell 脚本铺平了道路,该脚本会解压缩另一个 PowerShell 脚本,从 new-tech-savvy[.]com 域下载名为 “word_update.exe” 和 “ofer.docx” 的两个文件。
运行 word_update.exe 会使其以 fmTask_dbg.exe 的名称创建自己的副本,并通过在 Windows 启动文件夹中创建指向新可执行文件的快捷方式来实现持久性。
该二进制文件还使用无名管道来促进自身与生成的 cmd.exe 子进程之间的数据交换,最终解密并启动 Remcos RAT (版本 4.9.2 Pro),该木马能够窃取系统数据、Cookie 以及网络浏览器(如 Internet Explorer、Mozilla Firefox 和 Google Chrome)的登录信息。
研究人员表示:“在 Windows 操作系统中利用管道提供了一个隐蔽的数据传输通道,巧妙地绕过了端点检测和响应 (EDR) 以及防病毒系统的检测。虽然该技术并不是完全新颖,但它标志着该组织攻击手段的复杂性迈出了重要一步。”
原创文章,作者:SnowFlake,如若转载,请注明出处:https://www.cncso.com/uac-0050-group-new-phishing-tactics-to-distribute-remcos-rat.html
