近期，網絡安全研究人員發現，名爲 "UAC-0184 "的黑客組織利用隱寫圖像文件傳播 Remcos 遠程訪問木馬（RAT），受害者是一個在芬蘭境內運營的烏克蘭實體組織。

2023 年末，UAC-0184 威脅組織被趨勢科技的研究人員首次觀察到 ，主要針對烏克蘭武裝部隊發起網絡攻擊。 2024 年 1 月初，Morphisec 分析師發現芬蘭境內運營的一家烏克蘭企業成爲了該組織的受害者，這就表明該組織已將目標擴展到烏克蘭境外與其戰略目標有關聯的組織了。

出于保密需求，Morphisec 暫時不能提供有關受害者的詳細信息和其它具體攻擊細節。

“隱寫術”是一種有據可查但很少見的網絡攻擊策略，威脅攻擊者通過將惡意代碼編碼到圖像的像素數據中，從而躲避基于簽名規則的解決方案的檢測。

通常情況下，圖像像素中的小塊有效載荷不會導致圖像外觀出現很明顯的改變，但在 Morphisec 觀察分析的案例中，圖像看起來有明顯失真了，這種失真現象很難被直觀察覺，只有在人工檢查仔細情況下才會有所發現，一旦沒有人工檢查，就可以輕松躲避自動安全産品的檢測。

包含嵌入代碼的惡意 PNG 圖像（Morphisec）

Morphisec 觀察到的網絡攻擊鏈始于一封精心制作的網絡釣魚電子郵件，該電子郵件來自烏克蘭第三突擊分隊或以色列國防軍，上當的受害者一旦打開快捷方式文件附件後，就會立刻觸發感染鏈，啓動一個可執行文件（DockerSystem_Gzv3.exe），進而激活一個名爲'IDAT'的模塊化惡意軟件加載器。

IDAT 采用了動態加載 Windows API 函數、HTTP 連接測試、進程阻止列表和系統調用等複雜的技術，來逃避安全檢測。爲了保持網絡攻擊的隱蔽性，API 調用不會以明文形式寫入代碼中，是在運行時使用作爲攻擊鏈一部分的解密密鑰進行解析。

此外，IDAT 還采用了代碼注入和執行模塊等獨特技術，使其與傳統的加載程序不同。IDAT 提取嵌入惡意PNG 圖像文件中的編碼有效載荷，然後在內存中對其進行解密和執行，最後解密和執行 Remcos RAT。（這是一種商品惡意軟件，黑客將其用作被入侵系統的後門，允許隱秘地竊取數據和監控受害者的活動）

UAC-0184 攻擊概述（Morphisec）

最後，Morphisec 強調，IDAT 還能夠提供 Danabot、SystemBC 和 RedLine Stealer 等惡意軟件，但目前還不清楚這些惡意軟件是否出現在了受害者的內部系統中。

參考文章：

https://www.bleepingcomputer.com/news/security/new-idat-loader-version-uses-steganography-to-push-remcos-rat/