Globale Phishing-Attacken bringen drei neue Malware-Stämme hervor

Cyber Security News

Die noch nie dagewesenen Malware-Stämme haben eine “professionell kodierte Raffinesse” und wurden von einer gut ausgerüsteten APT gestartet, die fast 50 Domains nutzte, von denen eine gekapert wurde.

Zwei Wellen globaler Finanz-Phishing-Angriffe, die im Dezember mindestens 50 Organisationen überschwemmten, haben drei neue Malware-Familien hervorgebracht, so ein Bericht des Cybersecurity-Teams Mandiant von FireEye.

Am Dienstag teilte das Team mit, dass sie die bisher unbekannten Malware-Stämme Doubledrag, Doubledrop und Doubleback getauft haben. Die von Mandiant als “Trifecta” bezeichnete Spear-Phishing-Kampagne traf zweimal eine Vielzahl von Branchen weltweit: zuerst am 2. Dezember 2020, und eine zweite Welle wurde zwischen dem 11. und 18. Dezember 2020 gestartet.

Bei beiden Wellen waren die USA das Hauptziel der Angriffe, während bei der ersten Welle EMEA sowie Asien und Australien gleichermaßen betroffen waren.

Das sind keine Schläger

Mandiant hat den Bedrohungsakteur als UNC2529 identifiziert und sagt, dass diese Typen Profis sind. Angesichts der “beträchtlichen” Infrastruktur, die ihnen zur Verfügung steht, ihrer sorgfältig ausgearbeiteten Phishing-Köder und der, wie die Forscher es nennen, “professionell kodierten Raffinesse” der Malware, sagt das Team, dass die UNC2529-Angreifer “erfahren und gut ausgestattet” zu sein scheinen.

Die UNC2529-Bande hat ihre Ziele gut recherchiert und die Betreffzeilen ihrer Phishing-E-Mails auf ihre beabsichtigten Opfer zugeschnitten. In einem Fall gaben sich die Angreifer als Kundenbetreuer eines kleinen, in Kalifornien ansässigen Elektronikherstellers aus und verschickten sieben Phishing-E-Mails, die auf eine Reihe von Branchen abzielten, von der Medizin bis zur Verteidigung. Alle E-Mails enthielten Betreffzeilen, die sich auf die Produkte des Unternehmens bezogen, für das sich die Bedrohungsakteure ausgaben.

Nehmen Sie an Threatposts LIVE-Roundtable-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” am Mittwoch, den 12. Mai um 14:00 Uhr EDT teil. Dieses KOSTENLOSE Webinar wird von Zoho ManageEngine gesponsert.

Dreistufiger Prozess

Das von UNC2529 verwendete Malware-Ökosystem besteht entweder aus einem Downloader (Doubledrag) oder einem Excel-Dokument mit einem eingebetteten Makro, einem Dropper (Doubledrop) und einer Backdoor (Doubleback).

Die Infektion beginnt mit Phishing-E-Mails, die mit einem Link zum Herunterladen einer bösartigen Nutzlast versehen sind, die einen JavaScript-Downloader mit Code enthält, der stark verschleiert ist, um einer Analyse zu entgehen. Sobald dieser ausgeführt wurde, versucht Doubledrag in der zweiten Stufe der Angriffskette einen Dropper – Doubledrop – herunterzuladen. Doubledrop ist ein verschleiertes PowerShell-Skript, das eine Hintertür in den Speicher einschleusen soll. Es gibt zwei Varianten: eine 32-Bit- und eine 64-Bit-Instanz der Doubleback-Backdoor.

Nachdem das alles eingerichtet ist, macht sich die Backdoor an die Arbeit, fügt Plugins ein und meldet sich bei ihren Controllern zurück.

“Sobald die Backdoor die Ausführungskontrolle hat, lädt sie ihre Plugins und tritt dann in eine Kommunikationsschleife ein, in der sie Befehle von ihrem C2-Server abruft und sie versendet”, beschreibt Mandiant. “Eine interessante Tatsache über das gesamte Ökosystem ist, dass nur der Downloader im Dateisystem existiert. Die restlichen Komponenten sind in der Registry-Datenbank serialisiert, was ihre Erkennung etwas erschwert, insbesondere durch dateibasierte Antiviren-Engines.”

50 Domains tuckern dahin

Laut Mandiant setzte UNC2529 eine Menge Feuerkraft ein, um die Phishing-Angriffe im Dezember durchzuführen. Fast 50 Domains unterstützten die verschiedenen Phasen der Kampagnen. In der Zwischenzeit haben die Angreifer ihre Ziele gründlich recherchiert, um überzeugende Köder auszuhecken, die die Empfänger zum Klicken verleiten sollten. Auch eine legitime Drittanbieter-Domain wurde kompromittiert.

Die Bedrohungsakteure arbeiteten auch hart daran, die Malware-Komponenten zu verschleiern. Eine Taktik war die Verwendung von dateiloser Malware, die nach der Erstinfektion im Speicher ausgeführt wird, anstatt Dateien auf der Festplatte zu speichern. Laut einer Analyse der Telemetriedaten von Cisco war dateilose Malware die häufigste Cybersecurity-Bedrohung mit kritischem Schweregrad für Endgeräte in der ersten Hälfte des Jahres 2020. Diese Verwendung von dateiloser Malware trug dazu bei, die Erkennung zu verwirren, sodass die Bedrohungsakteure eine, wie Mandiant es nannte, “gut kodierte und erweiterbare Backdoor” bereitstellen konnten.

Mandiant geht davon aus, dass es bei all diesen Bemühungen um Profit geht: “Die identifizierten weitreichenden Ziele, über Geografie und Industrie hinweg, legen ein finanzkriminelles Motiv nahe”, heißt es.

Die Forscher sagen, dass Doubleback offenbar “eine fortlaufende Arbeit im Gange” ist. Das Team geht davon aus, dass UNC2529 weiterhin Opfer in allen Branchen und auf der ganzen Welt kompromittieren wird.

Nehmen Sie an der Threatpost-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” teil – ein LIVE-Roundtable-Event am Mi, 12. Mai um 14:00 Uhr EDT. Gesponsert von Zoho ManageEngine, moderiert Threatpost-Moderatorin Becky Bracken eine Expertenrunde, die die besten Abwehrstrategien für diese Bedrohungen des Jahres 2021 diskutiert. Fragen und LIVE-Beteiligung des Publikums sind erwünscht. Nehmen Sie an der lebhaften Diskussion teil und registrieren Sie sich HIER kostenlos.

Einige Teile dieses Artikels stammen aus:
threatpost.com