Globale Phishing-Kampagne droppt neues Malware-Trio

Cyber Security News

Sicherheitsforscher haben eine ausgeklügelte globale Phishing-Kampagne mit drei neuen Malware-Familien aufgedeckt, die bereits im Dezember letzten Jahres aufgetaucht ist.

Mandiant beobachtete zwei Wellen der Kampagne, die am 2. Dezember begann und fast 50 Organisationen auf der ganzen Welt zum Ziel hatte. Es verfolgte die finanziell motivierte Bedrohungsgruppe als UNC2529.

“Basierend auf der beträchtlichen Infrastruktur, die eingesetzt wird, den maßgeschneiderten Phishing-Ködern und der professionell kodierten Raffinesse der Malware, scheint dieser Bedrohungsakteur erfahren und gut ausgestattet zu sein”, so der Sicherheitsanbieter.

Die Gruppe scheint sich Zeit genommen zu haben, um ihre E-Mails so zu gestalten, dass sie für die einzelnen Empfänger legitim erscheinen, und nutzte zahlreiche Domänen, um ihre Bemühungen zu unterstützen.

Die drei neuen Malware-Stämme, die von Mandiant identifiziert wurden, tragen die Namen “Doubledrag”, “Doubledrop” und “Doubleback”. UNC2529 setzte offenbar starke Obfuskations- und Fileless-Malware-Techniken ein, um sie verborgen zu halten.

Doubledrag ist ein stark verschleierter JavaScript-Downloader. Doubledrop ist ein Nur-Speicher-Dropper der zweiten Stufe, der ein stark verschleiertes PowerShell-Skript enthält, das eine Backdoor in den Speicher einschleust. Diese Hintertür ist Doubleback.

Die Kampagne selbst zielte hauptsächlich auf US-Organisationen ab – 74 % der Opfer in der ersten Phase und 68 % in der zweiten Phase -, aber auch eine Reihe von Zielen in EMEA und APAC standen auf der Trefferliste.

Leider wurde Doubleback von Mandiant als “work in progress” eingestuft und wird wahrscheinlich in zukünftigen Kampagnen von UNC2529 wieder verwendet.

“Fast 50 Domains unterstützten verschiedene Phasen der Bemühungen, Ziele wurden recherchiert, und eine legitime Drittanbieter-Domain wurde kompromittiert”, so die Schlussfolgerung des Sicherheitsunternehmens.

“Der Bedrohungsakteur machte ausgiebig Gebrauch von Verschleierung und dateiloser Malware, um die Erkennung zu erschweren und eine gut codierte und erweiterbare Backdoor zu liefern. UNC2529 wird als fähig, professionell und gut ausgestattet eingeschätzt. Die identifizierten, weitreichenden Ziele in verschiedenen Regionen und Branchen deuten auf ein finanzkriminelles Motiv hin.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com