LuckyMouse-Hacker zielen auf Banken, Unternehmen und Regierungen im Jahr 2020

Cyber Security News

Ein Angreifer, der für seine Watering-Hole-Attacken gegen Regierungseinrichtungen bekannt ist, wurde mit einer Reihe von neu entdeckten Einbrüchen in Verbindung gebracht, die auf verschiedene Organisationen in Zentralasien und im Nahen Osten abzielten.

Die bösartigen Aktivitäten mit dem Namen “EmissarySoldier” werden einem Bedrohungsakteur namens LuckyMouse zugeschrieben und sollen im Jahr 2020 mit dem Ziel erfolgt sein, geopolitische Einblicke in der Region zu erlangen. Bei den Angriffen wurde ein Toolkit mit dem Namen “SysUpdate” (auch bekannt als “Soldier”) in einer Reihe von Organisationen eingesetzt, die angegriffen wurden, darunter Regierungs- und diplomatische Behörden, Telekommunikationsanbieter, ein TV-Medienunternehmen und eine Geschäftsbank.

[Blocked Image: https://thehackernews.com/images/-F6uIYIM1HU4/YHc_zlYQIjI/AAAAAAAA3ww/LiZQUqk8VF4NmFffFdQLXkunBuUDOa4FgCLcBGAsYHQ/s300-e100/thn-300-5.png]

LuckyMouse, auch bekannt als APT27 und Emissary Panda, ist eine hochentwickelte Cyberspionage-Gruppe, die in der Vergangenheit mehrere Regierungsnetzwerke in Zentralasien und dem Nahen Osten angegriffen hat. Der Akteur wurde auch mit Cyberangriffen in Verbindung gebracht, die auf transnationale Organisationen wie die Internationale Zivilluftfahrt-Organisation (ICAO) im Jahr 2019 abzielten, und zog kürzlich die Aufmerksamkeit auf sich, weil er ProxyLogon-Schwachstellen ausnutzte, um den E-Mail-Server einer Regierungseinrichtung im Nahen Osten zu kompromittieren.

[Blocked Image: https://thehackernews.com/images/-XTrdtb5VG8w/YIq_52GzdBI/AAAAAAAACaU/1xNkchligOscgQk56CSdQJZekeHaHD6cwCLcBGAsYHQ/s0/hack.jpg]

EmissarySoldier ist nur die jüngste in einer Reihe von Überwachungsbemühungen, die auf diese Ziele abzielen.

“Um seine Opfer zu kompromittieren, nutzt LuckyMouse typischerweise Watering Holes, also kompromittierte Websites, die wahrscheinlich von seinen anvisierten Zielen besucht werden”, so Matthieu Faou, Malware-Forscher bei ESET, in einem heute veröffentlichten Bericht. “Die Betreiber von LuckyMouse führen auch Netzwerk-Scans durch, um anfällige, dem Internet zugewandte Server zu finden, die von ihren beabsichtigten Opfern betrieben werden.”

Darüber hinaus fand ESET auch einige infizierte internetorientierte Systeme, auf denen Microsoft SharePoint läuft. Die Forscher vermuten, dass dies durch die Ausnutzung von Schwachstellen in der Anwendung zur Remotecodeausführung geschah.

[Blocked Image: https://thehackernews.com/images/-InfTQtUM5C4/YHc_0ZGpd6I/AAAAAAAA3w4/MWDrU14UJKQj4OKBMbp0NWLiHrGgZ1IwQCLcBGAsYHQ/s728-e100/thn-728-5.png]

Unabhängig von der Methode, die verwendet wird, um zunächst Fuß zu fassen, gipfelt die Angriffskette in der Bereitstellung von benutzerdefinierten Implantaten nach der Kompromittierung, SysUpdate oder HyperBro, die beide das Hijacking der DLL-Suchreihenfolge nutzen, um bösartige Nutzdaten zu laden und die Erkennung zu umgehen. “Das Dreizack-Modell besteht aus einer legitimen Anwendung, die für DLL-Hijacking anfällig ist, einer benutzerdefinierten DLL, die die Nutzlast lädt, und einer rohen, mit Shikata Ga Nai verschlüsselten binären Nutzlast”, so Faou.

[Blocked Image: https://thehackernews.com/images/-EWSeivzyTv4/YIq_6nMTmjI/AAAAAAAACaY/gyie6hbFkocTPe3Uk_dKiK0scppIzmQMACLcBGAsYHQ/s0/malware-hacking.jpg]

SysUpdate funktioniert seinerseits als modulares Tool, wobei jede Komponente einem bestimmten Einsatzzweck gewidmet ist. Dabei wird eine gutartige Anwendung als Lader für eine bösartige DLL missbraucht, die wiederum die Nutzlast der ersten Stufe lädt, die schließlich das Speicherimplantat auf dem kompromittierten System entschlüsselt und einsetzt. Seit seiner Entdeckung im Jahr 2018 wurde das Toolkit zahlreichen Überarbeitungen unterzogen, um neue Funktionen hinzuzufügen, was darauf hindeutet, dass die Betreiber aktiv daran arbeiten, ihr Malware-Arsenal zu erneuern.

“LuckyMouse war im Jahr 2020 zunehmend aktiv und durchlief anscheinend einen Umrüstungsprozess, bei dem verschiedene Funktionen schrittweise in das SysUpdate-Toolkit integriert wurden”, so Faou. “Dies könnte ein Hinweis darauf sein, dass die Bedrohungsakteure, die hinter LuckyMouse stehen, allmählich von der Verwendung von HyperBro auf SysUpdate umsteigen.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com