近期，網(wǎng)絡安全研究人員發(fā)現(xiàn)，名為 "UAC-0184 "的黑客組織利用隱寫圖像文件傳播 Remcos 遠程訪問木馬(RAT)，受害者是一個在芬蘭境內(nèi)運營的烏克蘭實體組織。

2023 年末，UAC-0184 威脅組織被趨勢科技的研究人員首次觀察到 ，主要針對烏克蘭武裝部隊發(fā)起網(wǎng)絡攻擊。 2024 年 1 月初，Morphisec 分析師發(fā)現(xiàn)芬蘭境內(nèi)運營的一家烏克蘭企業(yè)成為了該組織的受害者，這就表明該組織已將目標擴展到烏克蘭境外與其戰(zhàn)略目標有關聯(lián)的組織了。

出于保密需求，Morphisec 暫時不能提供有關受害者的詳細信息和其它具體攻擊細節(jié)。

利用圖片加載惡意軟件

“隱寫術”是一種有據(jù)可查但很少見的網(wǎng)絡攻擊策略，威脅攻擊者通過將惡意代碼編碼到圖像的像素數(shù)據(jù)中，從而躲避基于簽名規(guī)則的解決方案的檢測。

通常情況下，圖像像素中的小塊有效載荷不會導致圖像外觀出現(xiàn)很明顯的改變，但在 Morphisec 觀察分析的案例中，圖像看起來有明顯失真了，這種失真現(xiàn)象很難被直觀察覺，只有在人工檢查仔細情況下才會有所發(fā)現(xiàn)，一旦沒有人工檢查，就可以輕松躲避自動安全產(chǎn)品的檢測。

包含嵌入代碼的惡意 PNG 圖像（Morphisec）

Morphisec 觀察到的網(wǎng)絡攻擊鏈始于一封精心制作的網(wǎng)絡釣魚電子郵件，該電子郵件來自烏克蘭第三突擊分隊或以色列國防軍，上當?shù)氖芎φ咭坏┐蜷_快捷方式文件附件后，就會立刻觸發(fā)感染鏈，啟動一個可執(zhí)行文件（DockerSystem_Gzv3.exe），進而激活一個名為'IDAT'的模塊化惡意軟件加載器。

IDAT 采用了動態(tài)加載 Windows API 函數(shù)、HTTP 連接測試、進程阻止列表和系統(tǒng)調(diào)用等復雜的技術，來逃避安全檢測。為了保持網(wǎng)絡攻擊的隱蔽性，API 調(diào)用不會以明文形式寫入代碼中，是在運行時使用作為攻擊鏈一部分的解密密鑰進行解析。

此外，IDAT 還采用了代碼注入和執(zhí)行模塊等獨特技術，使其與傳統(tǒng)的加載程序不同。IDAT 提取嵌入惡意PNG 圖像文件中的編碼有效載荷，然后在內(nèi)存中對其進行解密和執(zhí)行，最后解密和執(zhí)行 Remcos RAT。（這是一種商品惡意軟件，黑客將其用作被入侵系統(tǒng)的后門，允許隱秘地竊取數(shù)據(jù)和監(jiān)控受害者的活動）

UAC-0184 攻擊概述（Morphisec）

最后，Morphisec 強調(diào)，IDAT 還能夠提供 Danabot、SystemBC 和 RedLine Stealer 等惡意軟件，但目前還不清楚這些惡意軟件是否出現(xiàn)在了受害者的內(nèi)部系統(tǒng)中。

參考文章：https://www.bleepingcomputer.com/news/security/new-idat-loader-version-uses-steganography-to-push-remcos-rat/