Neuartige E-Mail-Kampagne zielt auf Bloomberg-Kunden mit RATs

Cyber Security News

Die von Forschern als “Fajan” bezeichneten Angriffe sind zielgerichtet und scheinen verschiedene Bedrohungsmethoden zu testen, um diejenigen mit der größten Wirkung zu finden.

Eine neue E-Mail-basierte Kampagne eines aufstrebenden Bedrohungsakteurs zielt darauf ab, verschiedene Remote-Access-Trojaner (RATs) an eine ganz bestimmte Gruppe von Zielpersonen zu verbreiten, die die branchenbezogenen Dienste von Bloomberg nutzen.

Forscher von Cisco Talos Intelligence entdeckten die Kampagne, nannten sie und ihren Täter “Fajan” und behaupteten, dass es sich wahrscheinlich um das Werk eines Akteurs aus einem arabischsprachigen Land handelt.

Die Forscher haben die E-Mail-basierte Kampagne verfolgt, seit Fajan im März mit seinen Aktivitäten begonnen hat, und haben ein “relativ geringes Volumen” von Mustern gefunden, die es schwierig machen, zu bestimmen, “ob die Kampagnen sorgfältig ausgewählt oder massenhaft versendet werden”, so ein Bericht, der am Mittwoch online gestellt wurde.

Die Angriffe beginnen in Form von E-Mails, die wie gezielte E-Mails an Kunden von Bloomberg BNA aussehen, das inzwischen in Bloomberg Industry Group umbenannt wurde. Die hundertprozentige Tochtergesellschaft von Bloomberg LLC aggregiert Nachrichteninhalte in Plattformen für verschiedene Branchen wie Recht, Steuern und Buchhaltung und Regierung und verkauft sie an Kunden.

“Wir glauben, dass dies das erste Mal ist, dass jemand die Operationen von Fajan an einem Ort dokumentiert hat”, schrieb Cisco Talos-Forscher Vanja Svajcer in dem Bericht.

Die E-Mails geben vor, eine Rechnung für Kunden zu enthalten, enthalten aber stattdessen eine angehängte Excel-Tabelle, die Makrocode enthält, um entweder die nächste Infektionsstufe herunterzuladen oder die endgültige Nutzlast abzulegen und auszuführen, bei der es sich immer um einen Javascript- oder VB-basierten RAT handelt, “der es dem Angreifer ermöglicht, die Kontrolle über das infizierte System zu übernehmen, indem er HTTP über einen nicht standardisierten TCP-Port verwendet”, schrieb er.

“Der Name des Anhangs enthält immer eine Form des Namens der Bloomberg BNA Invoice in Kombination mit einer Zufallszahl, die für eine bestimmte Kampagne spezifisch ist”, erklärte Svajcer. “Einige frühe Beispiele von Kampagnen-E-Mails enthalten einen zweiten Anhang, der eine Kopie des E-Mail-Textes als saubere RTF-Datei enthält.”

Ein merkwürdiger Aspekt der Kampagne ist, dass ihr Umfang klein ist, wahrscheinlich weil der Bedrohungsakteur seine Fähigkeiten verfeinern will, um in Zukunft erfolgreichere Angriffe zu entwickeln, sagte Svajcer. “Die Akteure hinter der Fajan-Kampagne pflegen und entwickeln aktiv Funktionen, um die Angriffe noch erfolgreicher zu machen”, sagte er.

Außerdem deutet die Verwendung von RATs als Nutzlast darauf hin, dass das Ziel von Fajan wahrscheinlich Überwachung und Datenexfiltration ist. Die Command-and-Control-Server waren jedoch nicht ansprechbar, als die Forscher ihre Analyse durchführten, so dass sie das endgültige Ziel der Kampagne nicht entdecken konnten, so Svajcer.

Angriffsaufschlüsselung

Svajcer geht auf eine detaillierte Analyse des Angriffs ein, die auf den von den Forschern beobachteten Fajan-Samples basiert. Wenn leicht verschleierter VBA-Makro-Code in dem bösartigen Dokument gefunden wird, “ist es in der Regel eine Javascript- oder VB-Skript-basierte Nutzlast, die dort abgelegt und ausgeführt wird”, schreibt er.

Es handelt sich dabei “um recht einfache RATs, die sich mit einer fest kodierten IP-Adresse verbinden und auf Befehle hören, die per HTTP über eine nicht standardisierte TCP-Portnummer gesendet werden”, schrieb Svajcer.

Eines der bei der Kampagne beobachteten RATs wurde als NanoCore RAT identifiziert, ein kommerzieller Trojaner, der laut dem Bericht seit mindestens 2013 zum Kauf angeboten wird. Der Autor des RAT wurde 2017 verhaftet und zu einer fast dreijährigen Haftstrafe verurteilt. Zwar wurde dadurch die Entwicklung des RAT gestoppt, aber “einige Versionen wurden erfolgreich geknackt und werden von Angreifern häufig verwendet”, schrieb Svajcer.

Der VBA-Makro/RAT-Angriffsvektor wurde in etwa 60 Prozent der Kampagnen gefunden, die die Forscher beobachteten, sagte er. Der Rest der bösartigen Anhänge enthielt Excel 4.0-Makroformeln, die so konzipiert sind, dass sie ausgeführt werden, wenn die Dateien geöffnet sind, die alle einen einfachen Code zur Ausführung einer PowerShell-Befehlszeile enthalten, um die nächste Stufe von einer Pastebin-URL herunterzuladen und auszuführen.

“Der Rohinhalt der Pastebin-URL wird als Argument an das Invoke-Expression (IEX)-Skriptlet übergeben, das den heruntergeladenen Code aus dem Speicher ausführt”, schrieb Svajcer.

Alle abgerufenen Pastebins enthielten Code zum Herunterladen und Ausführen einer Nutzlast von einer kostenlosen Filesharing-Website Top4top.io, mit Ausnahme eines frühen Beispiels, das vonAmazon S3-Dienst gehostet wurde, fügte er hinzu.

Hinweise auf die Identität des Angreifers

Ein Blick unter die Haube des endgültigen Javascript-RAT-Payloads zeigt, dass er HTTP verwendet, um mit dem Command-and-Control-Server zu kommunizieren und einige Informationen über das infizierte System zu sammeln. Diese Informationen werden dann als User-Agent-Zeichenfolge im HTTP-Header verwendet, “vermutlich, um den Status für jedes einzelne infizierte System zu speichern”, so Svajcer.

VB-basierte RATs verhalten sich nach der Ausführung ähnlich wie die Javascript-Payloads, enthalten aber auch Code, der den Forschern Hinweise auf die Identität und Nationalität des Angreifers gibt, schrieb er.

In dem VB-Skript-Beispiel, das die Forscher beobachteten, sendet der Client eine Anfrage an den C2-Server und erwartet eine Antwort, die dann basierend auf der in einer Variablen angegebenen Zeichenfolge aufgeteilt wird, so der Bericht. Die Zeichenkette für die Aufteilung lautet bei diesem Beispiel “NAJAF”, was die Forscher umkehrten, um den Namen für die Kampagne zu erstellen.

“Eine Reihe ähnlicher Skripte wurde zuvor auf VirusTotal hochgeladen und die Urheberschaft für sie wird von einem Akteur mit dem Handle ‘Security.Najaf’ beansprucht”, schrieb Svajcer. “Dies könnte darauf hindeuten, dass der Autor des Fajan aus dem Irak stammt, obwohl es sich auch nur um einen Zufall oder eine False Flag handeln könnte.”

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook, “2021: The Evolution of Ransomware” (Die Entwicklung von Ransomware), um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com