Spam-Kampagne liefert plattformübergreifenden Remote Access Trojan Adwind

Originalbeitrag von Rubio Wu und Marshall Chen, Threats Analysts

Cyberkriminelle sind Opportunisten. Wird ein Betriebssystem mehr genutzt als ein anderes, so diversifizieren sie ihre Ziele, Tools und Techniken, um daraus Profit zu schlagen. Das ist der Mehrwert von Schadsoftware, die sich an verschiedene Plattformen anpassen lässt oder gar plattformübergreifend funktioniert. Wird sie nun mit einem Geschäftsmodell verbunden, das vorsieht, die Schadsoftware auch anderen Kriminellen anzubieten, so ist die Wirkung noch breiter. So geschehen mit Adwind/jRAT, das Trend Micro als JAVA_ADWIND erkannt hat. Es ist ein plattformübergreifender Remote Access Trojaner (RAT), der auf jeder Maschine mit Java läuft, einschließlich Windows, Mac OSX, Linux und Android.

Jetzt ist die Schadsoftware in einer anderen Spam-Kampagne wieder aufgetaucht, die vor allem Unternehmen aus der Luftfahrtindustrie anvisiert, und dies in erster Linie in der Schweiz, der Ukraine, Österreich und der USA.

Adwind-Hintermänner sind aktiv

Die Spam-Kampagne entspricht im Prinzip Trend Micros Telemetriedaten für JAVA_ADWIND. Die Schadsoftware wurde seit Anfang des Jahres stetig mehr entdeckt. Von 5.286 im Januar 2017 erhöhte sich die Zahl auf 117.649 im Juni. Bemerkenswert ist auch, dass die Funde von JAVA_ADWIND von Mai bis Juni um 107% gestiegen sind. Das zeigt, dass die Cyberkriminellen aktiv die Schadsoftware verteilen und pushen.

Adwind/jRAT kann Anmeldeinformationen stehlen, Tastenbewegungen aufnehmen und sammeln, Bilder oder Screenshots machen, Videos aufrufen sowie Daten exfiltrieren. Adwind-Läufe wurden genutzt, um Banken und dänische Firmen anzuvisieren, und sogar infizierte Maschinen in Botnets zu verwandeln.

Adwind ist berüchtigt als Multiplatform Do-it-Yourself RAT und hat viele Aliase: jRAT, Universal Remote Control Multi-Platform (UNRECOM), AlienSpy, Frutas und JSocket. 2014 fanden die Forscher von Trend Micro eine Android Version von Adwind/jRAT, die zusätzlich Kryptowährungs-Mining Fähigkeiten umfasste. Die Tatsache, dass der RAT als Service angeboten wird, bedeutet, dass er von noch mehr Kriminellen eingesetzt werden kann, und diese die Schadsoftware anpassen und ihre eigenen Builds erstellen können mit unterschiedlichen Fähigkeiten.

Bild 1: JAVA_ADWIND-Erkennungen von Januar bis Juni 2017

Bild 2: Adwinds-Infektionsablauf

Die Spam-Kampagne wurde in zwei Wellen eingesetzt

Die Spam-Kampagne stellt mit ihren zwei Einsatzwellen ein klassisches Beispiel von Social Engineering dar. Die erste Welle kam am 7. Juni und nutzte eine andere URL, um ihre Opfer von ihrer .NET-verfassten Malware mit Spyware-Fähigkeiten abzulenken. Die zweite Welle kam am 14. Juni und nutzte andere Domänen, die ihre Schadsoftware und C&C-Server hosteten. Beide setzten anscheinend eine ähnliche Social Engineering-Taktik ein, um die Opfer dazu zu verleiten, die bösartige URL anzuklicken.

Die Nachricht der Spam-Mail gab vor, vom Vorstand des Mediterranean Yacht Broker Association (MYBA) Charter Committee zu kommen. Der Betreff “Changes in 2017 – MYBA Charter Agreement” sollte Dringlichkeit vortäuschen. Es wurde ein gefälschter Absender (info[@]myba[.]net) genutzt, und ein scheinbar legitimer Inhalt sollte die Opfer verleiten, die URL anzuklicken.

Bild 3: Snapshot der an den C&C-Server gesendeten Informationen

Die Analyse der Infektionsabläufe finden Interessierte im Originalbeitrag.

Gegenmaßnahmen

Adwind als plattformübergreifende, Java-basierte Schadsoftware macht einen mehrschichtigen Sicherheitsansatz zum Schutz davor erforderlich, der Gateways, Endpunkte, Netzwerke, Server und mobile Geräte einbezieht. IT-/Systemadministratoren sowie Entwickler, die Java einsetzen, sollten auch Best Practices für den Einsatz und die Absicherung von Java beachten.

Um sich vor den von Adwind genutzten Spam-Mails zu schützen, hilft auch das Wissen um die Bedeutung der Absicherung von Mail Gateways. Spam-Filter, Policy Management und Mail-Sicherheitsmechanismen, die bösartige URLs blocken können, sind nur einige der möglichen Schutzmöglichkeiten gegen diese Bedrohungen.

Schließlich spielt Social Engineering eine Schlüsselrolle in der Infektionskette durch Adwind. Deshalb ist es wichtig, das Sicherheitsbewusstsein der Mitarbeiter zu stärken: Vor dem Klicken nachdenken, mehr Vorsicht beim Öffnen von unbekannten, nicht angeforderten Mails und anderes mehr.

 Trend Micro-Lösungen

Auf Endpoint-Ebene liefern Trend Micro Smart Protection Suites und Trend Micro Worry-Free Services Advanced verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Mithilfe des Deep Discovery™ Email Inspector können bösartige Anhänge und URLs erkannt und geblockt werden.

Trend Micro™ Hosted Email Security ist eine wartungsfreie cloudbasierte Lösung, die permanent aktuellen Schutz bietet und Spam, Malware, Spear-Phishing und komplexe, zielgerichtete Angriffe stoppt, bevor sie Ihr Netzwerk erreichen. Die Lösung schützt Microsoft Exchange, Microsoft Office 365, GoogleApps sowie viele weitere gehostete und lokale E-Mail-Lösungen.

Trend Micro™ Smart Protection for Endpoints mit XGen™ Security kombiniert Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern.

Indicators of Compromise: 
Dateien und URLs in Verbindung mit Adwind/jRAT:

  • hxxp://ccb-ba[.]adv[.]br/wp-admin/network/ok/index[.]php
  • hxxp://www[.]employersfinder[.]com/2017-MYBA-Charter[.]Agreement[.]pif
  • hxxps://nup[.]pw/e2BXtK[.]exe
  • hxxps://nup[.]pw/Qcaq5e[.]jar

Hashes:

  • 3fc826ce8eb9e69b3c384b84351b7af63f558f774dc547fccc23d2f9788ebab4 (TROJ_DLOADR.AUSUDT)
  • c16519f1de64c6768c698de89549804c1223addd88964c57ee036f65d57fd39b (JAVA_ADWIND.JEJPCO)
  • 97d585b6aff62fb4e43e7e6a5f816dcd7a14be11a88b109a9ba9e8cd4c456eb9 (JAVA_ADWIND.AUJC)
  • 705325922cffac1bca8b1854913176f8b2df83a70e0df0c8d683ec56c6632ddb (BKDR64_AGENT.TYUCT)

C&C-Server:

  • 174[.]127[.]99[.]234 Port 1033
  • hxxp://vacanzaimmobiliare[.]it/testla/WebPanel/post[.]php

Zusätzliche Analysen von Ryan Maglaque

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*