Source: www.csoonline.com – Author:
Sicherheitsforscher warnen vor einer neuen Malware, die bei Angriffen auf Healthcare- und Pharmaunternehmen eingesetzt wird.
janews – shutterstock.com
Forscher von Morphisec haben einen neuen Remote Access Trojaner (RAT) mit dem Namen ResolverRAT entdeckt, der über Phishing-E-Mails mit bösartigen Anhängen verbreitet wird. Die Angreifer nutzen dabei als Köder Begriffe wie Urheberrechtsverletzungen, verschiedene Rechtsverstöße und laufende Ermittlungen. Die E-Mails sind in mehreren Sprachen verfasst, darunter Englisch, Hindi, Italienisch, Indonesisch, Türkisch, Portugiesisch und Tschechisch, was auf das globale Ausmaß der Kampagne hindeutet.
„Während in aktuellen Berichten von Check Point und Cisco Talos ähnliche Phishing-Infrastrukturen und -Übertragungsmechanismen für Kampagnen zur Verbreitung von Rhadamanthys, beziehungsweise Lumma festgestellt wurden, scheint der von uns beobachtete RAT bisher nicht dokumentiert zu sein“, so die Morphisec-Analysten in ihrem Bericht.
„Trotz klarer Überschneidungen bei der Übertragung der Payload, den E-Mail-Ködern und der Wiederverwendung von Binärdateien führt diese Variante eine eigene Loader- und Workload-Struktur ein, die eine Klassifizierung als neue Malware-Familie rechtfertigt“, argumentieren die Security-Experten.
Ausführung nur im Speicher
Die Phishing-Mails enthalten ZIP-Anhänge, die eine legitime Binärdatei namens hpreader.exe enthalten. Diese ist Teil einer Anwendung namens Haihaisoft PDF Reader. Die Exe-Datei ist anfällig für DLL-Side-Loading, das heißt sie versucht, eine DLL mit einem bestimmten Namen aus demselben laufenden Verzeichnis zu laden.
Angreifer nutzen DLL-Side-Loading-Probleme aus, um über eine legitime Datei bösartigen Code in den Speicher zu laden. In diesem Fall platzierten die Angreifer eine bösartige DLL-Datei im selben Verzeichnis, die dann automatisch von hpreader.exe geladen und ausgeführt wurde.
ResolverRAT ist in .NET geschrieben und verwendet eine Technik namens .NET-Ressourcen-Resolver-Hijacking. Das Schadprogramm nutzt dabei einen .NET-Mechanismus, um nur im RAM-Speicher zu laufen und niemals Ressourcen auf der Festplatte zu erstellen. Diese Technik zielt darauf ab, Erkennungs-Tools zu umgehen, die Datei- und Win32-API-Vorgänge überwachen.
„Durch die Registrierung eines benutzerdefinierten Handlers für ResourceResolve-Ereignisse kann die Malware legitime Ressourcenanfragen abfangen und stattdessen schädliche Assemblie zurückgeben“, erklärten die Forscher. “Diese raffinierte Technik ermöglicht die Einschleusung von Code, ohne den PE-Header zu ändern oder verdächtige API-Aufrufe zu verwenden, die Sicherheitslösungen auslösen könnten.“
Eine weitere von der Malware eingesetzte Technik wird als „Control Flow Flattening“ bezeichnet. Sie solldie statische Codeanalyse durch die Implementierung einer komplizierten State Machine mit Hunderten von Zuständen und Übergängen erheblich erschweren.
Persistenz und heimliche C2-Kommunikation
Die neue RAT-Malware verwendet mehrere Persistenzstrategien, darunter mehr als 20 verschleierte Registry-Einträge und Dateien, die in mehreren Ordnern auf der Festplatte abgelegt werden. Die Schadsoftware zeichnet dabei auf, welche Persistenztechniken erfolgreich waren, um sie als Ausweichmechanismus zu verwenden.
Die Kommunikation mit dem Command-and-Control-Server (C2) läuft über TLS-Verschlüsselung mit einer angepassten Methode zur Validierung des Serverzertifikats, die das vom Server bereitgestellte Zertifikat mit einem intern vom Malware-Programm gespeicherten Zertifikat vergleicht. Mehrere IP-Adressen und Portnummern sind fest codiert, um als Ausweichlösung zu dienen, falls der primäre Server nicht mehr reagiert.
Die Verbindung mit dem C2-Server erfolgt in zufälligen Abständen, um die Erstellung eines Beaconing-Musters zu verhindern, das von Netzwerküberwachungs-Tools häufig erkannt wird. Das Kommunikationsprotokoll verwendet auch die Datenserialisierung, um die Überprüfung des Datenverkehrs zu erschweren. Infizierte Systeme werden nach Kampagnen verfolgt und organisiert. Jedes Opfer verfügt über ein eindeutiges Authentifizierungstoken, das vom System generiert wird.
„Die Angleichung der Mechanismen zur Payload, die Wiederverwendung von Artefakten und die Köderthemen deuten auf ein gemeinsames Affiliate-Modell oder koordinierte Aktivitäten zwischen verwandten Bedrohungsgruppen hin.“, schlussfolgern die Morphisec-Forscher. (jm)
ABONNIERE UNSEREN NEWSLETTER
Von unseren Redakteuren direkt in Ihren Posteingang
Beginnen Sie, indem Sie unten Ihre E-Mail-Adresse eingeben.
Original Post url: https://www.csoonline.com/article/3964584/neue-resolverrat-malware-zielt-auf-gesundheitsbranche.html
Category & Tags: Cyberattacks – Cyberattacks
Views: 1
