近期，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，名為"UAC-0184"的黑客組織利用隱寫圖像文件傳播Remcos遠(yuǎn)程訪問木馬(RAT)，受害者是一個(gè)在芬蘭境內(nèi)運(yùn)營的烏克蘭實(shí)體組織。
　　2023年末，UAC-0184威脅組織被趨勢(shì)科技的研究人員首次觀察到，主要針對(duì)烏克蘭武裝部隊(duì)發(fā)起網(wǎng)絡(luò)攻擊。2024年1月初，Morphisec分析師發(fā)現(xiàn)芬蘭境內(nèi)運(yùn)營的一家烏克蘭企業(yè)成為了該組織的受害者，這就表明該組織已將目標(biāo)擴(kuò)展到烏克蘭境外與其戰(zhàn)略目標(biāo)有關(guān)聯(lián)的組織了。

　　出于保密需求，Morphisec暫時(shí)不能提供有關(guān)受害者的詳細(xì)信息和其它具體攻擊細(xì)節(jié)。

　　利用圖片加載惡意軟件

　　“隱寫術(shù)”是一種有據(jù)可查但很少見的網(wǎng)絡(luò)攻擊策略，威脅攻擊者通過將惡意代碼編碼到圖像的像素?cái)?shù)據(jù)中，從而躲避基于簽名規(guī)則的解決方案的檢測(cè)。

　　通常情況下，圖像像素中的小塊有效載荷不會(huì)導(dǎo)致圖像外觀出現(xiàn)很明顯的改變，但在Morphisec觀察分析的案例中，圖像看起來有明顯失真了，這種失真現(xiàn)象很難被直觀察覺，只有在人工檢查仔細(xì)情況下才會(huì)有所發(fā)現(xiàn)，一旦沒有人工檢查，就可以輕松躲避自動(dòng)安全產(chǎn)品的檢測(cè)。


　　Morphisec觀察到的網(wǎng)絡(luò)攻擊鏈?zhǔn)加谝环饩闹谱鞯木W(wǎng)絡(luò)釣魚電子郵件，該電子郵件來自烏克蘭第三突擊分隊(duì)或以色列國防軍，上當(dāng)?shù)氖芎φ咭坏┐蜷_快捷方式文件附件后，就會(huì)立刻觸發(fā)感染鏈，啟動(dòng)一個(gè)可執(zhí)行文件（DockerSystem_Gzv3.exe），進(jìn)而激活一個(gè)名為'IDAT'的模塊化惡意軟件加載器。

　　IDAT采用了動(dòng)態(tài)加載Windows API函數(shù)、HTTP連接測(cè)試、進(jìn)程阻止列表和系統(tǒng)調(diào)用等復(fù)雜的技術(shù)，來逃避安全檢測(cè)。為了保持網(wǎng)絡(luò)攻擊的隱蔽性，API調(diào)用不會(huì)以明文形式寫入代碼中，是在運(yùn)行時(shí)使用作為攻擊鏈一部分的解密密鑰進(jìn)行解析。

　　此外，IDAT還采用了代碼注入和執(zhí)行模塊等獨(dú)特技術(shù)，使其與傳統(tǒng)的加載程序不同。IDAT提取嵌入惡意PNG圖像文件中的編碼有效載荷，然后在內(nèi)存中對(duì)其進(jìn)行解密和執(zhí)行，最后解密和執(zhí)行Remcos RAT。（這是一種商品惡意軟件，黑客將其用作被入侵系統(tǒng)的后門，允許隱秘地竊取數(shù)據(jù)和監(jiān)控受害者的活動(dòng)）


　　最后，Morphisec強(qiáng)調(diào)，IDAT還能夠提供Danabot、SystemBC和RedLine Stealer等惡意軟件，但目前還不清楚這些惡意軟件是否出現(xiàn)在了受害者的內(nèi)部系統(tǒng)中。

　　參考文章：https://www.bleepingcomputer.com/news/security/new-idat-loader-version-uses-steganography-to-push-remcos-rat/