IDAT 装载机袭击芬兰境内的乌克兰目标

位于芬兰的乌克兰实体已成为恶意活动的受害者，该活动涉及分发名为 Remcos RAT 的商业远程访问木马。该活动利用了名为 IDAT Loader 的恶意软件加载程序。乌克兰计算机紧急响应小组 (CERT-UA) 确认，责任威胁行为者为 UAC-0184，与此次攻击有关。

Morphisec 研究员 Michael Dereviashkin 在与 The Hacker News 分享的一份报告中强调，这次攻击是 IDAT Loader 的一个组件，采用了隐写术作为一种技术。虽然隐写技术（通常称为“Stego”）很常见，但理解它们在防御规避中的作用对于开发针对此类策略的有效防御至关重要。

IDAT Loader 与 Hijack Loader 恶意软件共享 DNA

IDAT Loader 与另一个名为 Hijack Loader 的加载器系列有相似之处，近几个月已被用来交付各种有效负载，包括 DanaBot、SystemBC 和 RedLine Stealer。此外，该加载程序还被名为 TA544 的威胁参与者利用，通过网络钓鱼攻击传播 Remcos RAT 和 SystemBC。

该网络钓鱼活动最初由 CERT-UA 于 2024 年 1 月上旬披露，涉及使用战争主题的诱饵来启动感染链。该链最终导致 IDAT Loader 的部署，然后利用嵌入式隐写 PNG 来定位和提取 Remcos RAT。

在相关进展中，CERT-UA 透露，该国的国防军已通过 Signal 即时通讯应用程序成为攻击目标。在这种情况下，攻击者分发了一个诱杀 Microsoft Excel 文档，执行 COOKBOX，这是一种基于 PowerShell 的恶意软件，能够加载和执行 cmdlet。此活动归因于一个名为 UAC-0149 的集群。