Schadsoftware mit mehrstufigem Infektionsschema kommuniziert via Slack

Originalbeitrag von Cedric Pernet, Daniel Lunghi, Jaromir Horejsi und Joseph C. Chen

Kürzlich weckte eine bislang unbekannte Schadsoftware aus mehreren Gründen das Interesse des Cyber Safety Solutions Team von Trend Micro. Zum einen verbreitet sie sich über Watering Hole-Angriffe. Dies bezeichnet eine Technik, bei der die Angreifer eine Website kompromittieren, bevor sie Besucher auf den infizierten Code umleiten. In diesem Fall wird jeder Besucher nur einmal umgeleitet. Die Infektion wird über die Ausnutzung von CVE-2018-8174 eingeleitet, einer VBScript Engine-Schwachstelle, die Microsoft im Mai 2018 gepatcht hatte.

Zum anderen nutzt die Schadsoftware ein mehrstufiges Infektionsschema. Nach der Ausnutzung der Sicherheitslücke (der Exploit besteht aus modifiziertem Code aus einem GitHub-Repository) lädt sie eine DLL herunter und führt sie in PowerShell (PS) aus. Diese Datei (ein Downloader) lädt ein zweites Executable mit einer Backdoor (SLUB) herunter und führt auch diese aus. Zugleich prüft der erste Downloader, ob irgendwelche Antivirus-Softwareprozesse vorhanden sind und beendet die Ausführung, wenn er etwas findet. Die Backdoor war zum Zeitpunkt der Entdeckung AV-Produkten nicht bekannt.

Schließlich stellten die Sicherheitsforscher fest, dass die Malware mit der Slack-Plattform in Verbindung stand. In dem Messaging-Dienst haben Anwender die Möglichkeit, ihre eigenen Workspaces zu erstellen und über Channels zu nutzen, ähnlich wie das IRC Chatting-System. Bislang gab es noch keine Malware, die mithilfe von Slack kommuniziert.

Aufgrund der technischen Recherche und Analyse des Angriffstools, der Techniken und Prozeduren sind die Forscher der Ansicht, dass die Bedrohung ein verschleierter gezielter Angriff von fähigen Akteuren ist, der einem untypischen cyberkriminellen Schema folgt. Auch lässt sich aus dem Angriffsablauf ein starkes Interesse an personenbezogenen Informationen ablesen mit dem Schwerpunkt auf Kommunikationssoftware (um mehr über die Personen zu erfahren). Aus dem gewählten Water Hole lässt sich zudem schließen, dass die Angreifer an Personen mit politischen Aktivitäten interessiert sind.

Trend Micro hat das Canadian Centre for Cyber Security darüber informiert. Den technischen Ablauf und weitere tiefgehende Details liefert der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.