De aan Rusland verbonden dreigingsacteur, bekend als UAC-0184 Er is waargenomen dat Oekraïense militaire en overheidsinstanties zich richtten door gebruik te maken van het Viber-berichtenplatform om kwaadaardige ZIP-archieven te bezorgen.
“Deze organisatie is in 2025 doorgegaan met het verzamelen van inlichtingen met hoge intensiteit tegen het Oekraïense leger en overheidsdepartementen”, aldus het 360 Threat Intelligence Center in een technisch rapport.
De hackgroep, ook gevolgd als Hive0156, staat vooral bekend om het gebruik van lokmiddelen met oorlogsthema in phishing-e-mails om Hijack Loader te leveren bij aanvallen gericht op Oekraïense entiteiten. De malware-lader fungeert vervolgens als pad voor Remcos RAT-infecties.
De dreigingsactor werd begin januari 2024 voor het eerst gedocumenteerd door CERT-UA. Latere aanvalscampagnes bleken berichten-apps zoals Signal en Telegram te gebruiken als bezorgmiddel voor malware. De laatste bevindingen van de Chinese beveiligingsleveranciers wijzen op een verdere evolutie van deze tactiek.
De aanvalsketen omvat het gebruik van Viber als een initiële inbraakvector om kwaadaardige ZIP-archieven te verspreiden die meerdere Windows-snelkoppelingsbestanden (LNK) bevatten, vermomd als officiële Microsoft Word- en Excel-documenten, om ontvangers te misleiden om deze te openen.
De LNK-bestanden zijn ontworpen om als lokdocument voor het slachtoffer te dienen om hun argwaan te verminderen, terwijl ze in stilte Hijack Loader op de achtergrond uitvoeren door een tweede ZIP-archief (“smoothieks.zip”) op te halen van een externe server door middel van een PowerShell-script.
De aanval reconstrueert en implementeert Hijack Loader in het geheugen via een meerfasig proces dat gebruik maakt van technieken zoals DLL side-loading en module stamping om detectie door beveiligingstools te omzeilen. De lader scant vervolgens de omgeving op geïnstalleerde beveiligingssoftware, zoals software gerelateerd aan Kaspersky, Avast, BitDefender, AVG, Emsisoft, Webroot en Microsoft, door de CRC32-hash van het overeenkomstige programma te berekenen.
Naast het tot stand brengen van persistentie door middel van geplande taken, onderneemt de lader stappen om de detectie van statische handtekeningen te ondermijnen voordat hij heimelijk Remcos RAT uitvoert door het in “chime.exe” te injecteren. De tool voor extern beheer geeft de aanvallers de mogelijkheid om het eindpunt te beheren, payloads uit te voeren, activiteiten te monitoren en gegevens te stelen.
“Hoewel het op de markt wordt gebracht als legitieme systeembeheersoftware, zorgen de krachtige indringende mogelijkheden ervoor dat het vaak wordt gebruikt door verschillende kwaadwillende aanvallers voor cyberspionage en gegevensdiefstalactiviteiten”, aldus het 360 Threat Intelligence Center. “Via het door Remcos geleverde grafische gebruikersinterface (GUI) controlepaneel kunnen aanvallers batchgeautomatiseerd beheer of nauwkeurige handmatige interactieve bewerkingen uitvoeren op de host van het slachtoffer.”
