近期，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，名為 "UAC-0184 "的黑客組織利用隱寫圖像文件傳播 Remcos 遠(yuǎn)程訪問木馬(RAT)，受害者是一個在芬蘭境內(nèi)運(yùn)營的烏克蘭實(shí)體組織。

2023 年末，UAC-0184 威脅組織被趨勢科技的研究人員首次觀察到 ，主要針對烏克蘭武裝部隊(duì)發(fā)起網(wǎng)絡(luò)攻擊。 2024 年 1 月初，Morphisec 分析師發(fā)現(xiàn)芬蘭境內(nèi)運(yùn)營的一家烏克蘭企業(yè)成為了該組織的受害者，這就表明該組織已將目標(biāo)擴(kuò)展到烏克蘭境外與其戰(zhàn)略目標(biāo)有關(guān)聯(lián)的組織了。

出于保密需求，Morphisec 暫時不能提供有關(guān)受害者的詳細(xì)信息和其它具體攻擊細(xì)節(jié)。

利用圖片加載惡意軟件

“隱寫術(shù)”是一種有據(jù)可查但很少見的網(wǎng)絡(luò)攻擊策略，威脅攻擊者通過將惡意代碼編碼到圖像的像素?cái)?shù)據(jù)中，從而躲避基于簽名規(guī)則的解決方案的檢測。

通常情況下，圖像像素中的小塊有效載荷不會導(dǎo)致圖像外觀出現(xiàn)很明顯的改變，但在 Morphisec 觀察分析的案例中，圖像看起來有明顯失真了，這種失真現(xiàn)象很難被直觀察覺，只有在人工檢查仔細(xì)情況下才會有所發(fā)現(xiàn)，一旦沒有人工檢查，就可以輕松躲避自動安全產(chǎn)品的檢測。

包含嵌入代碼的惡意 PNG 圖像（Morphisec）

Morphisec 觀察到的網(wǎng)絡(luò)攻擊鏈?zhǔn)加谝环饩闹谱鞯木W(wǎng)絡(luò)釣魚電子郵件，該電子郵件來自烏克蘭第三突擊分隊(duì)或以色列國防軍，上當(dāng)?shù)氖芎φ咭坏┐蜷_快捷方式文件附件后，就會立刻觸發(fā)感染鏈，啟動一個可執(zhí)行文件（DockerSystem_Gzv3.exe），進(jìn)而激活一個名為'IDAT'的模塊化惡意軟件加載器。

IDAT 采用了動態(tài)加載 Windows API 函數(shù)、HTTP 連接測試、進(jìn)程阻止列表和系統(tǒng)調(diào)用等復(fù)雜的技術(shù)，來逃避安全檢測。為了保持網(wǎng)絡(luò)攻擊的隱蔽性，API 調(diào)用不會以明文形式寫入代碼中，是在運(yùn)行時使用作為攻擊鏈一部分的解密密鑰進(jìn)行解析。

此外，IDAT 還采用了代碼注入和執(zhí)行模塊等獨(dú)特技術(shù)，使其與傳統(tǒng)的加載程序不同。IDAT 提取嵌入惡意PNG 圖像文件中的編碼有效載荷，然后在內(nèi)存中對其進(jìn)行解密和執(zhí)行，最后解密和執(zhí)行 Remcos RAT。（這是一種商品惡意軟件，黑客將其用作被入侵系統(tǒng)的后門，允許隱秘地竊取數(shù)據(jù)和監(jiān)控受害者的活動）

UAC-0184 攻擊概述（Morphisec）

最后，Morphisec 強(qiáng)調(diào)，IDAT 還能夠提供 Danabot、SystemBC 和 RedLine Stealer 等惡意軟件，但目前還不清楚這些惡意軟件是否出現(xiàn)在了受害者的內(nèi)部系統(tǒng)中。

參考文章：https://www.bleepingcomputer.com/news/security/new-idat-loader-version-uses-steganography-to-push-remcos-rat/