Các thực thể Ukraine có trụ sở tại Phần Lan đã bị nhắm mục tiêu như một phần của chiến dịch độc hại phân phối trojan truy cập từ xa thương mại được gọi là Remcos RAT bằng cách sử dụng trình tải phần mềm độc hại có tên IDAT Loader.
Cuộc tấn công được cho là do một tác nhân đe dọa được theo dõi bởi Đội phản ứng khẩn cấp máy tính của Ukraine (CERT-UA) với biệt danh UAC-0184.
"Cuộc tấn công, như một phần của IDAT Loader, đã sử dụng steganography như một kỹ thuật", nhà nghiên cứu Michael Dereviashkin của Morphisec cho biết trong một báo cáo được chia sẻ với The Hacker News. "Trong khi các kỹ thuật steganographic, hoặc 'Stego' nổi tiếng, điều quan trọng là phải hiểu vai trò của chúng trong việc trốn tránh phòng thủ, để hiểu rõ hơn về cách phòng thủ chống lại các chiến thuật như vậy."
IDAT Loader, trùng lặp với một họ loader khác gọi là Hijack Loader, đã được sử dụng để phục vụ các payload bổ sung như DanaBot, SystemBC và RedLine Stealer trong những tháng gần đây. Nó cũng đã được sử dụng bởi một tác nhân đe dọa được theo dõi là TA544 để phân phối Remcos, RAT và SystemBC thông qua các cuộc tấn công lừa đảo.
Chiến dịch lừa đảo - lần đầu tiên được CERT-UA tiết lộ vào đầu tháng 1/2024 - đòi hỏi phải sử dụng mồi nhử theo chủ đề chiến tranh làm điểm khởi đầu để khởi động chuỗi lây nhiễm dẫn đến việc triển khai IDAT Loader, từ đó sử dụng PNG steganographic nhúng để xác định vị trí và trích xuất Remcos RAT.
Sự phát triển này diễn ra khi CERT-UA tiết lộ rằng các lực lượng quốc phòng trong nước đã bị nhắm mục tiêu thông qua ứng dụng nhắn tin tức thời Signal để phân phối một tài liệu Microsoft Excel bị mắc kẹt thực thi COOKBOX, một phần mềm độc hại dựa trên PowerShell có khả năng tải và thực thi lệnh ghép ngắn. CERT-UA đã quy kết hoạt động này cho một cụm có tên là UAC-0149.
Nó cũng theo sau sự hồi sinh của các chiến dịch phần mềm độc hại lan truyền phần mềm độc hại PikaBot kể từ ngày 8 tháng 2 năm 2024, sử dụng một biến thể cập nhật dường như hiện đang được phát triển tích cực.
"Phiên bản này của bộ tải PikaBot sử dụng một phương pháp giải nén mới và xáo trộn nặng", Elastic Security Labs cho biết. "Mô-đun cốt lõi đã thêm một triển khai giải mã chuỗi mới, thay đổi chức năng xáo trộn và nhiều sửa đổi khác."