Hacker verstecken ObliqueRAT-Payload jetzt in Bildern, um Entdeckung zu umgehen

Cyber Security News

Cyberkriminelle setzen jetzt Remote Access Trojaner (RATs) unter dem Deckmantel scheinbar harmloser Bilder ein, die auf infizierten Websites gehostet werden. Dies zeigt einmal mehr, wie schnell Bedrohungsakteure ihre Taktik ändern, wenn ihre Angriffsmethoden entdeckt und öffentlich gemacht werden.

Neue Untersuchungen von Cisco Talos enthüllen eine neue Malware-Kampagne, die auf Organisationen in Südasien abzielt und bösartige, mit Makros gefälschte Microsoft Office-Dokumente nutzt, um ein RAT mit dem Namen ObliqueRAT zu verbreiten.

Die Malware wurde erstmals im Februar 2020 dokumentiert und mit einem Bedrohungsakteur in Verbindung gebracht, der als Transparent Tribe (auch bekannt als Operation C-Major, Mythic Leopard oder APT36) identifiziert wurde. Dabei handelt es sich um eine äußerst produktive Gruppe, die angeblich aus Pakistan stammt und für ihre Angriffe auf Menschenrechtsaktivisten im Land sowie auf Militär- und Regierungsmitarbeiter in Indien bekannt ist.

Während sich der ObliqueRAT modus operandi zuvor mit einer anderen Transparent Tribe-Kampagne im Dezember 2019 zur Verbreitung von CrimsonRAT überschnitt, unterscheidet sich die neue Angriffswelle in zwei entscheidenden Punkten.

Neben der Verwendung eines völlig anderen Makro-Codes zum Herunterladen und Bereitstellen der RAT-Nutzlast haben die Betreiber der Kampagne auch den Verbreitungsmechanismus aktualisiert, indem sie die Malware in scheinbar harmlosen Bitmap-Bilddateien (.BMP-Dateien) auf einem Netzwerk von gegnerisch kontrollierten Websites getarnt haben.

“Eine weitere Instanz von maldoc verwendet eine ähnliche Technik mit dem Unterschied, dass die Nutzlast, die auf der kompromittierten Website gehostet wird, ein BMP-Bild ist, das eine ZIP-Datei enthält, die die ObliqueRAT-Nutzlast enthält”, sagte Talos-Forscher Asheer Malhotra. “Die bösartigen Makros sind für das Extrahieren der ZIP-Datei und anschließend für die ObliqueRAT-Nutzlast auf dem Endpunkt verantwortlich.”

[Blocked Image: https://thehackernews.com/images/-8u-MhfuEOT4/YD-Edygy6oI/AAAAAAAAB8A/SxMB-StajEMB3CanYGV08sIhmOr68Rl7QCLcBGAsYHQ/s0/ObliqueRAT.jpg]

Unabhängig von der Infektionskette besteht das Ziel darin, die Opfer dazu zu verleiten, E-Mails mit den waffenfähigen Dokumenten zu öffnen, die, sobald sie geöffnet sind, die Opfer über bösartige URLs zur ObliqueRAT-Nutzlast (Version 6.3.5, Stand November 2020) leiten und schließlich sensible Daten vom Zielsystem exportieren.

Aber nicht nur die Verteilungskette hat ein Upgrade erhalten. Mindestens vier verschiedene Versionen von ObliqueRAT wurden seit seiner Entdeckung entdeckt. Talos vermutet, dass es sich dabei um Änderungen handelt, die wahrscheinlich als Reaktion auf frühere öffentliche Enthüllungen vorgenommen wurden, während gleichzeitig die Fähigkeiten des Informationsdiebstahls erweitert wurden, um eine Screenshot- und Webcam-Aufzeichnungsfunktion einzubauen und beliebige Befehle auszuführen.

Die Verwendung von Steganografie zur Übermittlung bösartiger Nutzdaten ist nicht neu, ebenso wenig wie der Missbrauch von gehackten Websites zum Hosten von Malware.

Im Juni 2020 wurde bereits festgestellt, dass Magecart-Gruppen Web-Skimmer-Code in den EXIF-Metadaten für das Favicon-Bild einer Website verstecken. Anfang dieser Woche haben Forscher von Sophos eine Gootkit-Kampagne aufgedeckt, die Suchmaschinenoptimierung (SEO) ausnutzt, um Benutzer mit Malware zu infizieren, indem sie sie auf gefälschte Seiten auf legitimen, aber kompromittierten Websites leiten.

Diese Technik, bei der vergiftete Dokumente verwendet werden, um Benutzer auf Malware zu verweisen, die in Bilddateien versteckt ist, stellt jedoch eine Veränderung der Infektionsmöglichkeiten dar, mit dem Ziel, unbemerkt durchzuschlüpfen und unter dem Radar zu bleiben.

“Diese neue Kampagne ist ein typisches Beispiel dafür, wie Angreifer auf die Offenlegung von Angriffen reagieren und ihre Infektionsketten weiterentwickeln, um Entdeckungen zu entgehen”, so die Forscher. “Die Modifikationen in den ObliqueRAT-Nutzlasten zeigen auch die Verwendung von Verschleierungstechniken, mit denen traditionelle signaturbasierte Erkennungsmechanismen umgangen werden können.”

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com