Gut getarnte Royal Ransomware

Die jüngsten Aktivitäten des von Microsoft Security Threat Intelligence als DEV-0569 bezeichneten Bedrohungsakteurs, der dafür bekannt ist, verschiedene Nutzlasten zu verbreiten, haben zur Verbreitung der Royal-Ransomware geführt, die erstmals im September 2022 auftauchte und von mehreren Bedrohungsakteuren verbreitet wird. Die beobachteten DEV-0569-Angriffe zeigen ein Muster kontinuierlicher Innovation, wobei regelmäßig neue Entdeckungstechniken, Verteidigungsumgehungen und verschiedene Nutzlasten nach der Kompromittierung sowie eine zunehmende Erleichterung der Ransomware eingesetzt werden.

DEV-0569 stützt sich insbesondere auf Malvertising, Phishing-Links, die auf einen Malware-Downloader verweisen und sich als Software-Installationsprogramme oder -Updates ausgeben, die in Spam-E-Mails, gefälschten Forumsseiten und Blog-Kommentaren eingebettet sind. In den letzten Monaten haben die Sicherheitsforscher von Microsoft Veränderungen beobachtet.

Verbreitungsmethoden der Gruppe

Verwendung von Kontaktformularen auf den Websites der Zielorganisationen zur Übermittlung von Phishing-Links

Hosting von gefälschten Installationsdateien auf legitim aussehenden Software-Download-Seiten und legitimen Repositories, um bösartige Downloads für die Zielpersonen authentisch erscheinen zu lassen, und

Ausweitung ihrer Malvertising-Techniken durch den Einsatz von Google Ads in einer ihrer Kampagnen, wodurch sie sich effektiv mit dem normalen Anzeigenverkehr vermischen

Diese Methoden ermöglichen es der Gruppe, potenziell mehr Ziele zu erreichen und letztlich ihr Ziel zu erreichen, verschiedene Nutzdaten nach der Kompromittierung zu verteilen. DEV-0569 verwendet signierte Binärdateien und stellt verschlüsselte Malware-Nutzdaten bereit. Die Gruppe, die auch dafür bekannt ist, dass sie sich stark auf Techniken zur Umgehung der Verteidigung verlässt, hat in den letzten Kampagnen weiterhin das Open-Source-Tool Nsudo verwendet, um Antivirenlösungen zu deaktivieren.

Microsoft verwendet die Bezeichnung DEV-#### als vorläufigen Namen für eine unbekannte, aufkommende oder sich entwickelnde Gruppe von Bedrohungsaktivitäten, die es Microsoft ermöglicht, sie als eindeutige Informationsgruppe zu verfolgen, bis Microsoft ein hohes Maß an Vertrauen in den Ursprung oder die Identität des Akteurs hinter der Aktivität erreicht. Sobald die definierten Kriterien erfüllt sind, wird eine DEV-Gruppe in einen benannten Akteur umgewandelt.

DEV-0569 Angriffskette: Übermittlungstaktiken optimiert

DEV-0569 verfügt über mehrere Methoden zur Übermittlung seiner ursprünglichen Nutzlast. In einigen Fällen werden DEV-0569-Nutzdaten über Phishing-Kampagnen anderer bösartiger Akteure übermittelt, die die Lieferung von Malware-Nutzdaten als Dienstleistung anbieten.

Die historische Beobachtung eines typischen DEV-0569-Angriffs beginnt mit bösartigen Links, die über bösartige Anzeigen, gefälschte Forenseiten, Blog-Kommentare oder Phishing-E-Mails an Ziele übermittelt werden. Diese Links führen zu bösartigen Dateien, die vom Angreifer mit einem legitimen Zertifikat signiert wurden. Die bösartigen Dateien, bei denen es sich um Malware-Downloader mit der Bezeichnung BATLOADER handelt, geben sich als Installationsprogramme oder Updates für legitime Anwendungen wie Microsoft Teams oder Zoom aus. Wenn BATLOADER gestartet wird, verwendet er MSI Custom Actions, um bösartige PowerShell-Aktivitäten zu starten oder Batch-Skripte auszuführen, um Sicherheitslösungen zu deaktivieren und verschiedene verschlüsselte Malware-Nutzlasten zu übermitteln, die entschlüsselt und mit PowerShell-Befehlen gestartet werden.

Sich als legitime Software-Download-Seiten ausgeben

Von August bis Oktober 2022 beobachtete Microsoft DEV-0569-Aktivitäten, bei denen BATLOADER, die über bösartige Links in Phishing-E-Mails verbreitet wurden, sich als legitime Installationsprogramme für zahlreiche Anwendungen wie TeamViewer, Adobe Flash Player, Zoom und AnyDesk ausgaben. BATLOADER wurde auf von Angreifern erstellten Domains gehostet, die sich als legitime Software-Download-Seiten ausgaben (z.B. anydeskos[.]com) und auf legitimen Repositories wie GitHub und OneDrive. Microsoft entfernt verifizierte bösartige Inhalte aus diesen Repositories, sobald sie gefunden oder gemeldet werden.

Verwendung von VHD-Dateiformaten

Neben der Verwendung von Installationsdateien hat Microsoft auch die Verwendung von Dateiformaten wie Virtual Hard Disk (VHD) beobachtet, die sich als legitime Software für Nutzdaten der ersten Stufe ausgeben. Diese VHDs enthalten auch bösartige Skripte, die zum Download der Malware-Nutzdaten von DEV-0569 führen.

PowerShell und Batch-Skripte zum Herunterladen

DEV-0569 hat verschiedene Infektionsketten mit PowerShell und Batch-Skripten verwendet, die letztendlich zum Herunterladen von Malware-Nutzdaten wie Informationsdiebstahl oder einem legitimen Remote-Management-Tool führten, das zum Verbleiben im Netzwerk verwendet wird. Das Verwaltungstool kann auch ein Zugangspunkt für die Bereitstellung und Verbreitung von Ransomware sein.

NSudo zur Deaktivierung von Antivirenlösungen

DEV-0569 versucht auch weiterhin, Antiviren-Produkte zu manipulieren. Im September und Oktober 2022 beobachtete Microsoft Aktivitäten, bei denen DEV-0569 das Open-Source-Tool NSudo verwendete, um Antiviren-Lösungen zu deaktivieren.

September 2022: Verwendung von Kontaktformularen, um Zugang zu Zielen zu erhalten und Informationen zu stehlen

Im September 2022 beobachtete Microsoft eine Kampagne, bei der Kontaktformulare zur Übermittlung von DEV-0569-Nutzdaten verwendet wurden. Die Verwendung von Kontaktformularen auf öffentlichen Websites zur Verbreitung von Malware wurde bereits bei anderen Kampagnen beobachtet, darunter auch bei IcedID-Malware. Angreifer nutzen diese Technik als Methode zur Umgehung der Verteidigung, da Kontaktformulare den E-Mail-Schutz umgehen können und dem Empfänger vertrauenswürdig erscheinen.

In dieser Kampagne sendete DEV-0569 über das Kontaktformular auf den Websites der Zielpersonen eine Nachricht und gab sich als nationale Finanzbehörde aus. Wenn ein kontaktiertes Ziel per E-Mail antwortete, antwortete DEV-0569 mit einer Nachricht, die einen Link zu BATLOADER enthielt. Microsoft Defender für Office 365 erkennt sowohl das Spoofing-Verhalten als auch die bösartigen Links in diesen E-Mails.

Die bösartigen Links in den Kontaktformularen führten zu BATLOADER-Malware, die auf missbrauchten Webdiensten wie GitHub und OneDrive gehostet wurde. Die Installationsprogramme starteten ein PowerShell-Skript, das mehrere Befehle ausgab, einschließlich des Herunterladens eines NirCmd-Befehlszeilenprogramms, das vom Freeware-Entwickler NirSoft bereitgestellt wurde:

nircmd elevatecmd exec hide „requestadmin.bat“

Wenn der Befehl erfolgreich ist, kann der Angreifer vom lokalen Administrator zu SYSTEM-Rechten aufsteigen, ähnlich wie beim Ausführen einer geplanten Aufgabe als SYSTEM.

Das PowerShell-Skript lieferte auch zusätzliche ausführbare Dateien von einer Remote-Website (z. B. updateea1[.]com), darunter einen AES-verschlüsselten Gozi-Bankentrojaner und den als Vidar Stealer bekannten Informationsdiebstahl, der Telegram nutzte, um Befehls- und Kontrollinformationen (C2) zu erhalten. DEV-0569 variiert häufig seine Nutzlasten und hat Anfang 2022 die Lieferung von ZLoader eingestellt, möglicherweise als Reaktion auf die Störungsversuche gegen Zloader im April 2022.

September 2022: Einsatz von Royal Ransomware

Microsoft hat Fälle identifiziert, in denen DEV-0569-Infektionsketten beteiligt waren, die letztlich von Menschen durchgeführte Ransomware-Angriffe ermöglichten, bei denen Royal-Ransomware verbreitet wurde. Basierend auf den von Microsoft beobachteten Taktiken verschafften sich Ransomware-Angreifer wahrscheinlich über ein von BATLOADER geliefertes Cobalt Strike Beacon-Implantat Zugang zu kompromittierten Netzwerken.

Die weit verbreitete Infektionsbasis von DEV-0569 und die vielfältigen Nutzlasten machen die Gruppe wahrscheinlich zu einem attraktiven Zugangsvermittler für Ransomware-Betreiber.

Oktober 2022: Ausnutzung von Google Ads zur gezielten Verbreitung von BATLOADER

Ende Oktober 2022 identifizierten Microsoft-Forscher eine DEV-0569-Malvertising-Kampagne, die Google Ads nutzt, die auf das legitime Traffic Distribution System (TDS) Keitaro verweisen, das Funktionen zur Anpassung von Werbekampagnen über die Nachverfolgung des Anzeigenverkehrs und benutzer- oder gerätebasierte Filterung bietet. Microsoft beobachtete, dass das TDS den Nutzer auf eine legitime Download-Seite oder unter bestimmten Bedingungen auf die bösartige BATLOADER-Download-Seite umleitet. Microsoft meldete diesen Missbrauch an Google, um es zu sensibilisieren und Maßnahmen in Betracht zu ziehen.

Mit Keitaro kann DEV-0569 die von Keitaro bereitgestellte Verkehrsfilterung nutzen, um seine Nutzdaten an bestimmte IP-Bereiche und Ziele zu liefern. Diese Verkehrsfilterung kann DEV-0569 auch dabei helfen, IP-Bereiche bekannter Sicherheits-Sandboxing-Lösungen zu vermeiden.

ZDNet.de Redaktion

Recent Posts

Was macht Check Point als attraktiver Arbeitgeber aus?

Kim Forsthuber von Checkpoint erklärt, wie sie zum Security-Anbieter gekommen ist und was sie an…

3 Stunden ago

Android-Malware Rafel RAT aufgedeckt

Bösartiges Tool wird für Spionage, Fernzugriff, Datenklau und Ransomware verwendet. Check Point-Sicherheitsforscher beobachten Angriffe in…

5 Stunden ago

US-Regierung verhängt Verkaufsverbot gegen Kasperskys Antivirensoftware

Es tritt bereits im Juli in Kraft. Ab Ende September wird auch der Wiederverkauf von…

7 Stunden ago

Beta 3 von Android 15: Google stellt neue Sicherheitsfunktionen vor

Android 15 erreicht den Meilenstein Platform Stability. Die neue OS-Version verbessert die Implementierung von Passkeys…

23 Stunden ago

Apple entwickelt Hochsicherheits-OS für seine KI-Rechenzentren

Es soll die Grundlage für die Sicherheitsfunktion Private Compute Cloud bilden. Diese wiederum soll die…

1 Tag ago

Google schließt schwerwiegende Sicherheitslöcher in Chrome

Sie stecken unter anderem in der JavaScript Engine V8. Betroffen sind Chrome für Windows, macOS…

1 Tag ago