Kompromittierte Website-Bilder tarnen ObliqueRAT-Malware

Cyber Security News

E-Mails, die die ObliqueRAT-Malware verbreiten, nutzen jetzt Steganografie und tarnen ihre Nutzdaten auf kompromittierten Websites.

Die ObliqueRAT-Malware tarnt ihre Nutzdaten jetzt als scheinbar harmlose Bilddateien, die auf kompromittierten Websites versteckt werden.

Der seit 2019 aktive Remote-Access-Trojaner (RAT) verbreitet sich über E-Mails, die bösartige Microsoft Office-Dokumente als Anhang haben. Zuvor waren die Nutzlasten in die Dokumente selbst eingebettet. Wenn Benutzer nun auf den Anhang klicken, werden sie zu bösartigen URLs umgeleitet, in denen die Nutzdaten mit Steganografie versteckt sind.

Die Forscher warnen, dass diese neue Taktik den Betreibern von ObliqueRAT dabei geholfen hat, eine Entdeckung zu vermeiden, als die Malware auf verschiedene Organisationen in Südasien abzielte – wobei das Ziel darin besteht, den Opfern eine E-Mail mit bösartigen Microsoft Office-Dokumenten zu schicken, die, sobald sie angeklickt werden, die Nutzdaten abrufen und schließlich verschiedene Daten des Opfers exfiltrieren.

[Blocked Image: https://alltechnews.de/daten/2021/01/1611697071_98_DanaBot-Malware-gewinnt-wieder-an-Relevanz.jpg]

“Diese neue Kampagne ist ein typisches Beispiel dafür, wie Angreifer auf Angriffsenthüllungen reagieren und ihre Infektionsketten weiterentwickeln, um Entdeckungen zu umgehen”, sagte Asheer Malhotra, Forscher bei Cisco Talos, am Dienstag. “Die Modifikationen in den ObliqueRAT-Payloads verdeutlichen auch die Verwendung von Verschleierungstechniken, mit denen traditionelle signaturbasierte Erkennungsmechanismen umgangen werden können.”

Was ist die ObliqueRAT Malware?

Die bekannten Aktivitäten für ObliqueRAT reichen bis in den November 2019 zurück und waren Teil einer Kampagne, die auf Einrichtungen in Südostasien abzielte und von Cisco Talos-Forschern im Februar 2020 aufgedeckt wurde. ObliqueRAT-Betreiber haben immer E-Mails mit bösartigen Anhängen als anfänglichen Infektionsvektor verwendet. Im Allgemeinen verwendet die Infektionskette eine erste ausführbare Datei, die als Dropper für ObliqueRAT selbst dient.

Sobald es Systeme infiziert hat, exfiltriert ObliqueRAT verschiedene Informationen, darunter Systemdaten, eine Liste der Laufwerke und eine Liste der laufenden Prozesse.

ObliqueRAT Malware-Entwicklung

Die neu entdeckte ObliqueRAT-Angriffskette war Teil einer Kampagne, die im Mai letzten Jahres begann – aber erst kürzlich von Forschern aufgedeckt wurde. Neben der Verwendung von URL-Umleitungen wurden auch die Payloads selbst einem Update unterzogen und bestehen nun aus scheinbar harmlosen Bitmap-Bilddateien (BMP).

[Blocked Image: https://alltechnews.de/daten/2021/03/Kompromittierte-Website-Bilder-tarnen-ObliqueRAT-Malware.png]

Die neue Angriffskette, die von ObliqueRAT verwendet wird. Kredit: Cisco Talos

Die Bilddateien enthalten sowohl legitime Bilddaten als auch bösartige ausführbare Bytes, die in den Bilddaten versteckt sind, so die Forscher. Threatpost hat sich an Cisco Talos gewandt, um weitere Informationen zu den kompromittierten Websites und den im Rahmen des Angriffs verwendeten Bildern zu erhalten.

Dies ist eine bekannte Taktik, die von Bedrohungsakteuren verwendet wird und Steganografie genannt wird. Angreifer verstecken Malware in Bilddateien, um so die Erkennung zu umgehen. Das liegt daran, dass viele Filter und Gateways Bilddateiformate ohne allzu große Prüfung passieren lassen.

Die ursprüngliche E-Mail, die an die Opfer gesendet wird, enthält bösartige Dokumente mit neuen Makros, die die Benutzer zu den bösartigen URLs umleiten, die diese Nutzlasten enthalten. Die bösartigen Makros laden daraufhin die BMP-Dateien herunter, und die ObliqueRAT-Nutzlast wird auf der Festplatte extrahiert.

Es gibt leichte Variationen, die in realen Angriffen beobachtet wurden. Ein Beispiel für ein bösartiges Dokument, das die Forscher gefunden haben, “verwendet eine ähnliche Technik, mit dem Unterschied, dass die Nutzlast, die auf der kompromittierten Website gehostet wird, ein BMP-Bild ist, das eine .ZIP-Datei enthält, die die ObliqueRAT-Nutzlast enthält”, so Malhotra. “Die bösartigen Makros sind für die Extraktion der .ZIP-Datei und anschließend für die ObliqueRAT-Nutzlast auf dem Endpunkt verantwortlich.”

Im Laufe ihrer Untersuchung entdeckten die Forscher auch drei zuvor verwendete, aber nie zuvor gesehene Payloads für ObliqueRAT, die zeigen, wie die Malware-Autoren im Laufe der Zeit Änderungen vorgenommen haben. So fügte eine der im September erstellten Versionen neue Funktionen zum Aufzählen und Stehlen von Dateien hinzu und erweiterte die Funktionalitäten der Payload um die Möglichkeit, Screenshots und Aufnahmen von Webcam und Desktop zu machen.

ObliqueRAT: Versteckt sich vor Entdeckung, verbesserte Persistenz

Diese aktualisierte Technik zur Übermittlung von Nutzdaten gibt Angreifern einen Vorteil, um der Entdeckung zu entgehen, so die Forscher.

[Blocked Image: https://alltechnews.de/daten/2021/03/1614705008_49_Kompromittierte-Website-Bilder-tarnen-ObliqueRAT-Malware.png]

Die Entwicklung der Nutzlasten von ObliqueRAT. Kredit: Cisco Talos

“Es ist sehr wahrscheinlich, dass diese Änderungen eine Reaktion auf frühere Enthüllungen sind, um eine Umgehung für diese neuen Kampagnen zu erreichen”, so die Forscher. “Die Verwendung von kompromittierten Websites ist ein weiterer Versuch, die Erkennung zu umgehen.”

Die Makros haben auch eine neue Taktik übernommen, um eine Reboot-Persistenz für die ObliqueRAT-Nutzlasten zu erreichen. Dies wird erreicht, indem eine Verknüpfung (.URL-Dateierweiterung) im Startup-Verzeichnis des infizierten Benutzers erstellt wird, so die Forscher. Sobald der Computer neu gestartet wird, können die Payloads dann immer noch ausgeführt werden.

RevengeRAT: Forscher verbinden mit ‘Low Confidence’

Forscher gaben an, dass sie Überschneidungen in der Command-and-Control (C2) Server-Infrastruktur zwischen ObliqueRAT und einer RevengeRAT-Kampagne beobachtet haben. Allerdings stellten sie die Verbindung mangels anderer substanziellerer Beweise nur mit “geringem Vertrauen” her.

RevengeRAT ist eine Commodity-Malware-Familie, die in der Vergangenheit von der mit dem Iran verbundenen, auf Spionage ausgerichteten Bedrohungsgruppe APT33 verwendet wurde. Der RAT sammelt und exfiltriert Informationen aus dem System des Opfers.

In der Vergangenheit stellten Forscher auch Verbindungen zwischen ObliqueRAT und Crimson RAT her. Zu den Funktionen von Crimson RAT gehören das Stehlen von Anmeldeinformationen aus den Browsern der Opfer, das Erfassen von Screenshots, das Sammeln von Informationen über Antivirensoftware und das Auflisten der laufenden Prozesse, Laufwerke und Verzeichnisse von Opferrechnern. Die Forscher sagten, dass die beiden RATs “ähnliche Maldocs und Makros” in früheren ObliqueRAT-Kampagnen verwendet haben.

“Diese Malware hat Verbindungen zu der Gruppe Transparent Tribe, die in der Vergangenheit auf Einrichtungen in Südasien abzielte”, so Malhotra gegenüber Threatpost. “Wie bei den meisten verdächtigen APT-Kampagnen ist auch diese Kampagne von geringem Umfang. Eine Kampagne mit geringem Volumen hat bessere Chancen, über einen längeren Zeitraum unentdeckt zu bleiben, was die Erfolgschancen der Angreifer erhöht.”

Einige Teile dieses Artikels stammen aus:
threatpost.com