Chargeur IDAT
Des chercheurs en cybersécurité ont découvert une campagne d'attaque, identifiée comme une menace contre un cheval de Troie ukrainien appelé Remcos RAT, facilitée par un chargeur de malware connu sous le nom d'IDAT Loader. L'équipe ukrainienne d'intervention en cas d'urgence informatique (CERT-UA), qui suit l'auteur de la menace sous le nom d'UAC-0184 (TA544), a attribué l'attaque.
L'attaque, exécutée grâce à l'utilisation d'IDAT Loader, intègre la stéganographie comme technique. Bien que les techniques stéganographiques, ou « Stego », soient largement reconnues. Les techniques stéganographiques consistent à dissimuler des informations dans un autre support, par exemple en cachant des données dans des images, des fichiers audio ou tout autre contenu numérique, pour permettre une communication secrète sans attirer l'attention. Il est crucial de comprendre leur rôle dans l’évasion des mesures de défense.
Table des matières
Le chargeur IDAT facilite la livraison des charges utiles de logiciels malveillants de prochaine étape
L'IDAT Loader, présentant des similitudes avec une autre famille de chargeurs nommée Hijack Loader, a déployé activement diverses charges utiles, notamment DanaBot , SystemBC et RedLine Stealer, pendant plusieurs mois. Ce chargeur a été utilisé par un acteur malveillant identifié comme TA544 pour diffuser le Remcos RAT et SystemBC via des attaques de phishing.
La campagne de phishing, initialement divulguée par le CERT-UA début janvier 2024, consiste à utiliser des appâts sur le thème de la guerre pour lancer une chaîne d'infection. Cette chaîne conduit finalement au déploiement de l'IDAT Loader, qui utilise un PNG stéganographique intégré pour localiser et extraire le Remcos RAT.
Le Remcos RAT est souvent déployé dans les campagnes cybercriminelles
Le REMCOS RAT est un cheval de Troie d'accès à distance largement utilisé dans les activités de cybercriminalité et d'espionnage. Réputé pour sa capacité à prendre le contrôle des ordinateurs, REMCOS peut collecter des frappes au clavier, de l'audio, de la vidéo, des captures d'écran et des données système tout en facilitant la diffusion de charges utiles de logiciels malveillants supplémentaires. Généralement, ce malware se propage via des e-mails de phishing contenant des pièces jointes ou des liens malveillants, conduisant à l'installation du RAT. Il a notamment été observé que REMCOS est distribué par divers moyens, notamment par des chargeurs de logiciels malveillants. Le malware est utilisé de manière malveillante depuis le milieu des années 2010.
Une fois REMCOS exécuté avec succès, les acteurs malveillants bénéficient de capacités complètes de contrôle et de surveillance du système cible. Cela leur permet d’exfiltrer clandestinement des données sensibles sur une période prolongée, évitant ainsi toute détection. L'utilisation de ces informations sensibles, selon la cible, comporte un risque de chantage, de perte d'emploi si les données de l'entreprise sont compromises et de vol de données organisationnelles. Ces données volées pourraient ensuite être exploitées pour orchestrer des attaques sophistiquées à grande échelle, entraînant des dommages graves, voire irréparables, aux organisations ou aux moyens de subsistance des individus concernés.
L’Ukraine reste la cible d’attaques cybercriminelles perpétrées par des groupes de pirates informatiques alignés sur la Russie
Le CERT-UA a également mis en garde contre une cyberattaque ciblée visant à infecter les systèmes informatiques utilisés par les forces armées ukrainiennes avec la porte dérobée Cookbox.
Selon le CERT-UA, un individu non identifié a distribué un document XLS nommé « 1_ф_5.39-2024.xlsm » via le messager Signal à plusieurs militaires, affirmant avoir des problèmes avec la formation du rapport. Ledit fichier contenait un script VBA supplémentaire qui déclenchait le téléchargement et l'exécution d'un script PowerShell nommé « mob2002.data ».
Le script PowerShell téléchargé depuis GitHub apporte quelques modifications au registre du système d'exploitation. Plus précisément, il dépose une charge utile codée en base64 dans « HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache », qui exécute finalement le malware Cookbox. Cookbox est un script PowerShell qui implémente des fonctionnalités de téléchargement et d'exécution d'applets de commande PowerShell.
Les services DNS dynamiques (tels que gotdns.ch, myftp.biz) et Cloudflare Workers sont utilisés pour le fonctionnement des serveurs de commande et de contrôle. L'activité décrite, repérée sous le nom d'UAC-0149, est en cours depuis au moins l'automne 2023, selon les données révélées par les chercheurs.
