De bedreigingsacteur die bekend staat als UAC-0050 maakt gebruik van phishing-aanvallen om Remcos RAT te verspreiden met behulp van nieuwe strategieën om detectie door beveiligingssoftware te omzeilen.
“Het favoriete wapen van de groep is Remcos RAT, een beruchte malware voor bewaking en controle op afstand, die voorop loopt in zijn spionagearsenaal”, zeiden Uptycs-beveiligingsonderzoekers Karthick Kumar en Shilpesh Trivedi in een woensdagrapport.
“In hun nieuwste operationele draai heeft de UAC-0050-groep echter een pipe-methode voor interprocescommunicatie geïntegreerd, wat hun geavanceerde aanpassingsvermogen aantoont.”
UAC-0050, actief sinds 2020, heeft een geschiedenis van het aanvallen van Oekraïense en Poolse entiteiten via social engineering-campagnes die zich voordoen als legitieme organisaties om ontvangers te misleiden om kwaadaardige bijlagen te openen.
In februari 2023 schreef het Computer Emergency Response Team van Oekraïne (CERT-UA) de tegenstander toe aan een phishing-campagne die bedoeld was om Remcos RAT te leveren.
De afgelopen maanden is dezelfde trojan verspreid als onderdeel van ten minste drie verschillende phishing-golven, waarbij één zo’n aanval ook leidde tot de inzet van een informatiedief genaamd Meduza Stealer.
De analyse van Uptycs is gebaseerd op een LNK-bestand dat op 21 december 2023 werd ontdekt. Hoewel de exacte initiële toegangsvector momenteel onbekend is, wordt vermoed dat het gaat om phishing-e-mails gericht op Oekraïens militair personeel dat beweert reclame te maken voor adviesfuncties bij het Israëlische leger. (IDF).
Het LNK-bestand in kwestie verzamelt informatie over antivirusproducten die op de doelcomputer zijn geïnstalleerd, en gaat vervolgens verder met het ophalen en uitvoeren van een HTML-toepassing met de naam “6.hta” vanaf een externe server met behulp van mshta.exe, een Windows-native binair bestand voor het uitvoeren van HTA-bestanden .
Deze stap maakt de weg vrij voor een PowerShell-script dat een ander PowerShell-script uitpakt om twee bestanden genaamd “word_update.exe” en “ofer.docx” te downloaden van het domein new-tech-savvy[.]com.
Het uitvoeren van word_update.exe zorgt ervoor dat het een kopie van zichzelf maakt met de naam fmTask_dbg.exe en persistentie tot stand brengt door een snelkoppeling naar het nieuwe uitvoerbare bestand te maken in de opstartmap van Windows.
Het binaire bestand maakt ook gebruik van naamloze pipelines om de uitwisseling van gegevens tussen zichzelf en een nieuw voortgebracht kindproces voor cmd.exe te vergemakkelijken om uiteindelijk de Remcos RAT (versie 4.9.2 Pro) te decoderen en te starten, die systeemgegevens kan verzamelen en cookies en inloggegevens van webbrowsers zoals Internet Explorer, Mozilla Firefox en Google Chrome.
“Het gebruik van leidingen binnen het Windows-besturingssysteem biedt een verborgen kanaal voor gegevensoverdracht, waarbij detectie door Endpoint Detection and Response (EDR) en antivirussystemen vakkundig wordt omzeild”, aldus de onderzoekers.
“Hoewel niet geheel nieuw, markeert deze techniek een aanzienlijke sprong in de verfijning van de strategieën van de groep.”
