Morphisec威胁实验室的研究人员观察到了一场新的恶意软件攻击活动,该活动以IDAT Loader传播Remcos RAT,目标是芬兰的一家乌克兰实体。乌克兰计算机应急响应团队(CERT-UA)将这些攻击与一个名为UAC-0184的威胁行为者联系起来。攻击者利用隐写术作为一种技术,将恶意载荷隐藏在图像中,以逃避基于签名的检测。
Remcos是一种商业远程访问特洛伊木马(RAT),可以让操作者接管被感染的系统。网络安全公司Uptcycs的研究人员观察到了一场使用钓鱼邮件的Remcos RAT攻击活动,声称邮件来自以色列国防军顾问。
IDAT被认为是一种复杂的加载器,可以用来部署多种恶意软件系列,包括Danabot、SystemBC和RedLine Stealer。IDAT加载器的模块化架构使其可以轻松添加新功能。加载器已经支持代码注入和执行模块,与传统加载器有所区别。该恶意软件实施了多种逃避技术,包括动态加载Windows API函数、HTTP连接测试、进程阻止列表和syscalls。IDAT加载器依赖于多阶段感染链。
Morphisec发布的分析称:“初始阶段下载或加载第二阶段,其中包含一个模块表和主要的工具壳代码。第二阶段将该工具壳代码注入到一个合法的DLL或一个新的进程中。随后,主要的工具壳代码解密并执行最终的载荷,在文件类型和配置标志的基础上调整其注入或执行。”“有趣的是,在这种情况下,IDAT模块被嵌入在主执行文件中,这种文件通常从远程服务器下载。”研究人员分析了一份IDAT加载器样本,该样本使用了一个被称为劫持加载器的加载器系列的代码。
原文始发于微信公众号(黑猫安全):IDAT加载器被用于感染芬兰的乌克兰实体,并传播Remcos RAT
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论