Skip to content

Intestine getarte Royal Ransomware | ZDNet.de

Die jüngsten Aktivitäten des von Microsoft Safety Risk Intelligence als DEV-0569 bezeichneten Bedrohungsakteurs, der dafür bekannt ist, verschiedene Nutzlasten zu verbreiten, haben zur Verbreitung der Royal-Ransomware geführt, die erstmals im September 2022 auftakterenedront wiredront von verdehrendron. Die beobachteten DEV-0569-Angriffe zeigen ein Muster kontinuierlicher Innovation, wobei regelmäßig neue Entdeckungstechniken, Verteidigungsumgehungen und verschiedene Nutzlasten nach der Kompromittierung sowie eine zunehmende Erleichterung der Ransomware eingesetzt werden.

DEV-0569 stützt sich insbesondere auf Malvertising, Phishing-Hyperlinks, die auf einen Malware-Downloader verweisen und sich als Software program-Installationsprogramme oder -Updates ausgeben, die in Spam-E-Mails, gefälschten Forumsseiten und Weblog-Kommentaren eingebettet sind. In den letzten Monaten haben die Sicherheitsforscher von Microsoft die folgenden Veränderungen in den Verbreitungsmethoden der Gruppe beobachtet:

  1. Verwendung von Kontaktformularen auf den Web sites der Zielorganisationen zur Übermittlung von Phishing-Hyperlinks
  2. Internet hosting von gefälschten Installationsdateien auf legitim aussehenden Software program-Obtain-Seiten und legitimaten Repositories, um bösartige Downloads für die Zielpersonen authentisch erscheinen zu lassen, und
  3. Ausweitung ihrer Malvertising-Techniken durch den Einsatz von Google Advertisements in einer ihrer Kampagnen, wodurch sie sich effektiv mit dem normalen Anzeigenverkehr vermischen

Diese Methoden ermöglichen es der Gruppe, potenziell mehr Ziele zu erreichen und letztlich ihr Ziel zu erreichen, verschiedene Nutzdaten nach der Kompromittierung zu verteilen. DEV-0569 verwendet signierte Binärdateien und stellt verschlüsselte Malware-Nutzdaten bereit. Die Gruppe, die auch dafür bekannt ist, dass sie sich stark auf Techniken zur Umgehung der Verteidigung verlässt, hat in den letzten Kampagnen weiterhin das Open-Supply-Instrument Nsudo verwendet, um Antivirenlösungen zu deaktivieren.

Microsoft verwendet die Bezeichnung DEV-#### als vorläufigen Namen für eine unbekannte, aufkommende oder sich entwickelnde Gruppe von Bedrohungsaktivitäten, die es Microsoft ermöglicht, sie als eindeutige Informationsgruppe zu verfolgen, bis Microsoft ein hohes Maß an Vertrauen in den Ursprungti oderätdie des Akteurs hinter der Aktivität erreicht. Sobald die definerten Kriterien erfüllt sind, wird eine DEV-Gruppe in einen benannten Akteur umgewandelt.

DEV-0569 Angriffskette: Übermittlungstaktiken optimiert

DEV-0569 verfügt über mehrere Methoden zur Übermittlung seiner ursprünglichen Nutzlast. In einigen Fällen werden DEV-0569-Nutzdaten über Phishing-Kampagnen anderer bösartiger Akteure übermittelt, die die Lieferung von Malware-Nutzdaten als Dienstleistung anbieten.

Die historische Beobachtung eines typischen DEV-0569-Angriffs beginnt mit bösartigen Hyperlinks, die über bösartige Anzeigen, gefälschte Forenseiten, Weblog-Kommentare oder Phishing-E-Mails an Ziele übermittelt werden. Diese Hyperlinks führen zu bösartigen Dateien, die vom Angreifer mit einem legitimen Zertifikat signiert wurden. Die bösartigen Dateien, bei denen es sich um Malware-Downloader mit der Bezeichnung BATLOADER handelt, geben sich als Installationsprogramme oder Updates für respectable Anwendungen wie Microsoft Groups oder Zoom aus. Wenn BATLOADER gestartet wird, verwendet er MSI Customized Actions, um bösartige PowerShell-Aktivitäten zu starten oder Batch-Skripte auszuführen, um Sicherheitslösungen zu deaktivieren und verschiedene verschlüsselte Malware-Nutzlasten zu übermitteln, die entschlüsselt und mit PowerShell-Befehlen gestartet werden.

Sich als respectable Software program-Obtain-Seiten ausgeben

Von August bis Oktober 2022 beobachtete Microsoft DEV-0569-Aktivitäten, bei denen BATLOADER, die über bösartige Hyperlinks in Phishing-E-Mails verbreitet wurden, sich als respectable Installationsprogramme für zahlreiche Anwendungen wie TeamViewer, Adobe Flash Participant, Zoom and AnyDesk can be found. BATLOADER wurde auf von Angreifern erstellten Domains gehostet, die sich als respectable Software program-Obtain-Seiten ausgaben (zB anydeskos[.]com) and auf respectable Repositories with GitHub and OneDrive. Microsoft entfernt verifizierte bösartige Inhalte aus diesen Repositories, sobald sie gefunden oder gemeldet werden.

Verwendung von VHD-Dateiformaten

Neben der Verwendung von Installationsdateien hat Microsoft auch die Verwendung von Dateiformaten wie Digital Exhausting Disk (VHD) beobachtet, die sich als legitimatetime Software program für Nutzdaten der ersten Stufe ausgeben. Diese VHDs enthalten auch bösartige Skripte, die zum Obtain der Malware-Nutzdaten von DEV-0569 führen.

PowerShell and Batch-Skripte zum Herunterladen

DEV-0569 hat verschiedene Infektionsketten mit PowerShell und Batch-Skripten verwendet, die letztendlich zum Herunterladen von Malware-Nutzdaten wie Informationsdiebstahl oder einem legitimaten Distant-Administration-Instrument führten, das zum Verbleiben im Netzwerk verwendet wird. Das Verwaltungstool kann auch ein Zugangspunkt für die Bereitstellung und Verbreitung von Ransomware sein.

NSudo zur Deaktivierung von Antivirenlösungen

DEV-0569 versucht auch weiterhin, Antiviren-Produkte zu manipulieren. Im September und Oktober 2022 beobachtete Microsoft Aktivitäten, bei denen DEV-0569 das Open-Supply-Instrument NSudo verwendete, um Antiviren-Lösungen zu deaktivieren.

September 2022: Verwendung von Kontaktformularen, um Zugang zu Zielen zu erhalten und Informationen zu stehlen

Im September 2022 beobachtete Microsoft eine Kampagne, bei der Kontaktformulare zur Übermittlung von DEV-0569-Nutzdaten verwendet wurden. Die Verwendung von Kontaktformularen auf öffentlichen Web sites zur Verbreitung von Malware wurde bereits bei anderen Kampagnen beobachtet, darunter auch bei IcedID-Malware. Angreifer nutzen diese Technik als Methode zur Umgehung der Verteidigung, da Kontaktformulare den E-Mail-Schutz umgehen können und dem Empfänger vertrauenswürdig erscheinen.

In dieser Kampagne sendete DEV-0569 über das Kontaktformular auf den Web sites der Zielpersonen eine Nachricht und gab sich als nationale Finanzbehörde aus. Wenn ein kontaktiertes Ziel per E-Mail antwortete, antwortete DEV-0569 mit einer Nachricht, die einen Hyperlink zu BATLOADER enthielt. Microsoft Defender for workplace 365 erkennt sowohl das Spoofing-Verhalten als auch die bösartigen Hyperlinks in diesen E-Mails.

Die bösartigen Hyperlinks in den Kontaktformularen führten zu BATLOADER-Malware, die auf missbrauchten Webdiensten wie GitHub und OneDrive gehostet wurde. Die Installationsprogramme starteten ein PowerShell-Skript, das mehrere Befehle ausgab, einschließlich des Herunterladens eines NirCmd-Befehlszeilenprogramms, das vom Freeware-Entwickler NirSoft bereitgestellt wurde:

nircmd elevatecmd exec cover „requestadmin.bat“

Wenn der Befehl erfolgreich ist, kann der Angreifer vom lokalen Administrator zu SYSTEM-Rechten aufsteigen, ähnlich wie beim Ausführen einer geplanten Aufgabe als SYSTEM.

Das PowerShell-Skript lieferte auch zusätzliche ausführbare Dateien von einer Distant-Web site (z. B. updateea1[.]com), darunter einen AES-verschlüsselten Gozi-Bankentrojaner und den als Vidar Stealer bekannten Informationsdiebstahl, der Telegram nutzte, um Befehls- und Kontrollinformationen (C2) zu erhalten. DEV-0569 variiert häufig seine Nutzlasten und hat Anfang 2022 die Lieferung von ZLoader eingestellt, möglicherweise als Reaktion auf die Störungsversuche gegen Zloader im April 2022.

September 2022: Einsatz von Royal Ransomware

Microsoft hat Fälle identifiziert, in denen DEV-0569-Infektionsketten beteiligt waren, die letztlich von Menschen durchgeführte Ransomware-Angriffe ermöglichten, bei denen Royal-Ransomware verbreitet wurde. Basierend auf den von Microsoft beobachteten Taktiken verschafften sich Ransomware-Angreifer wahrscheinlich über ein von BATLOADER geliefertes Cobalt Strike Beacon-Implantat Zugang zu kompromittierten Netzwerken.

Die weit verbreitete Infektionsbasis von DEV-0569 und die vielfältigen Nutzlasten machen die Gruppe wahrscheinlich zu einem attraktiven Zugangsvermittler für Ransomware-Betreiber.

October 2022: Ausnutzung von Google Advertisements zur gezielten Verbreitung von BATLOADER

Ende Oktober 2022 identifizierten Microsoft-Forscher eine DEV-0569-Malvertising-Kampagne, die Google Advertisements nutzt, die auf das respectable Visitors Distribution System (TDS) Keitaro verweisen, das Funktionen zur Anpassung von Werbekampagnen über die Nachverfolgung des Anzeigenverkehrs und benutzerbaertehrs Filterung bietet. Microsoft beobachtete, dass das TDS den Nutzer auf eine legitime Obtain-Seite oder unter bestimmten Bedingungen auf die bösartige BATLOADER-Obtain-Seite umleitet. Microsoft meldete diesen Missbrauch an Google, um es zu sensibilisieren und Maßnahmen in Betracht zu ziehen.

Mit Keitaro kann DEV-0569 die von Keitaro bereitgestellte Verkehrsfilterung nutzen, um seine Nutzdaten an bestimmte IP-Bereiche und Ziele zu liefern. Diese Verkehrsfilterung kann DEV-0569 auch dabei helfen, IP-Bereiche bekannter Sicherheits-Sandboxing-Lösungen zu vermeiden.

Leave a Reply

Your email address will not be published. Required fields are marked *