В связи с приближением Дня уплаты налогов в США компания Microsoft наблюдала фишинговые атаки, направленные на фирмы, занимающиеся бухгалтерским учетом и подготовкой налоговых деклараций, с целью доставки трояна удаленного доступа Remcos (RAT) и компрометации целевых сетей, начиная с февраля этого года.
Remcos (Remote Control and Surveillance) - это инструмент с закрытым исходным кодом, который позволяет субъектам угроз удаленно получать привилегии администратора в системах Windows. Он был выпущен в 2016 году европейской компанией BreakingSecurity, которая продает Remcos и другие наступательные инструменты безопасности как законное программное обеспечение.
В 2021 году CISA включила Remcos в список лучших штаммов вредоносного ПО, ссылаясь на его использование в массовых фишинговых атаках с использованием пандемических тем COVID-19, направленных на предприятия и частных лиц.
Несмотря на то, что подобные заманивания с помощью социальной инженерии часто встречаются в День уплаты налогов и другие значимые текущие события, эти кампании специфичны и направлены на конкретные цели, что является редкостью. Целями этой угрозы являются исключительно организации, занимающиеся подготовкой налогов, финансовые службы, CPA и бухгалтерские фирмы, а также фирмы, оказывающие профессиональные услуги в области бухгалтерского учета и налогообложения.
В кампании используются приманки, маскирующиеся под налоговую документацию, присланную клиентом, а ссылка в электронном письме использует легитимную службу отслеживания кликов, чтобы избежать обнаружения. Затем цель перенаправляется на законный сайт файлового хостинга, куда злоумышленник загружает файлы ярлыков Windows (.LNK).
По наблюдениям Microsoft, ссылка в фишинговом письме указывает на сервис отслеживания кликов Amazon Web Services по адресу awstrack[.]me. Затем начальная ссылка перенаправляет цель на ZIP-файл, размещенный на легальном файлообменном сервисе spaces[.]hightail[.]com. ZIP-файл содержит LNK-файлы, которые действуют как ярлыки Windows для других файлов. LNK-файлы выполняют веб-запросы к контролируемым актером доменам и
IP-адреса для загрузки дополнительных вредоносных файлов, таких как файлы MSI, содержащие библиотеки DLL или исполняемые файлы, файлы VBScript, содержащие команды PowerShell, или обманные PDF-файлы.
В некоторых случаях GuLoader использовался для выполнения shellcode и последующей загрузки Remcos на целевую систему.
GuLoader - это вредоносный загрузчик, который использовался различными субъектами для доставки широкого спектра вредоносного ПО, включая несколько RAT, таких как Remcos, через фишинговые кампании с тех пор, как он был впервые замечен в дикой природе в декабре 2019 года. Загрузчик использует несколько методов для уклонения от анализа и обнаружения, таких как использование легитимных файлообменных сайтов и облачных хостинговых служб для хранения и доставки полезной нагрузки, а также шифрование и обфускация шеллкода GuLoader и полезной нагрузки.
Успешная доставка полезной нагрузки Remcos может дать злоумышленнику возможность получить контроль над целевым устройством для кражи информации и/или перемещения по целевой сети.
Indicators of Compromise
Domains
- uymm.org
URLs
- https://uymm.org/roman.msi
SHA256
- 23597910ec60cf8b97144447c5cddd2e657d09e2f2008d53a3834b6058f36a41
- 95a2d34db66ce4507d05ac33bea3bdc054860d9d97e91bdc2ce7ce689ae06e9f
- ac55905e6f5a2ab166f9a2ea7d1f4f68f5660f39b5c28b7746df1e9db6dd4430