Spam-Mails mit XTRAT und DUNIHI Backdoors im Bundle mit Adwind

Originalbeitrag von Abraham Camba und Janus Agcaoili

Die Sicherheitsforscher von Trend Micro entdeckten eine Spam-Kampagne, die den berüchtigten plattformübergreifenden Remote Access Trojan (RAT) Adwind oder jRAT (JAVA_ADWIND.WIL) ablegt zusammen mit einem weiteren wohlbekannten Backdoor namens XTRAT oder XtremeRAT (BKDR_XTRAT.SMM). Zudem lieferte die Spam-Kampagne auch den Info-Stealer Loki (TSPY_HPLOKI.SM1).

Auch wurde DUNIHI (VBS_DUNIHI.ELDSAVJ), ein bekanntes VBScript mit Backdoor- und Wurmfähigkeiten mit zusammen mit Adwind im Rahmen eines anderen Vorfalls via Spam-Mail verteilt. Auffällig ist, dass die Cyberkriminellen hinter den Adwind-XTRAT-Loki und Adwind-DUNIHI Bundles den legitimen freien dynamischen DNS-Server hopto[.]org benutzen. Man geht davon aus, dass das Ablegen verschiedener Backdoor-Sets ein Trick ist, der die Chancen auf eine Infizierung des Systems erhöhen soll: Wird eine Malware entdeckt, so kann eine andere versuchen, den Job zu erledigen.

Vom 1. Januar bis zum 17. April dieses Jahres entdeckten die Forscher 5.535 einzigartige Adwind Samples. Zu den am meisten betroffenen Ländern gehören die USA, Japan, Australien, Italien, Taiwan, Deutschland und Großbritannien.

Bild 1. Adwind-Erkennungen zwischen dem 1. Januar und 17. April 2018

Technische Einzelheiten zu den Schädlingen enthält der Originalbeitrag.


Bild 2. Infektionsablauf des Spams, den Adwind, XTRAT und Loki ablegen

Adwind treibt seit 2013 sein Unwesen und läuft auf allen verbreiteten Betriebssystemen (Windows, Linux, MacOSX, Android) mit Java. Der Schädling ist für seine verschiedenen Backdoor-Fähigkeiten bekannt. Dazu gehören folgende:

  • Informationsdiebstahl
  • Datei- und Registry-Management
  • Remote Desktop
  • Remote Shell
  • Prozessmanagement
  • Uploading, Downloading und Ausführen von Dateien

XTRAT verfügt über ähnliche Fähigkeiten wie Adwind, kann aber darüber hinaus auch folgendes:

  • Bildschirm kapern
  • Aufnehmen über Webcam oder Mikrofon
  • Upload und Download von Dateien
  • Registry-Manipulation (lesen, schreiben und manipulieren)
  • Prozessmanipulation (ausführen und beenden)
  • Service-Manipulation (stoppen, starten, erzeugen und modifizieren)
  • Ausführen von Remote Shell und Kontrolle über das System des Opfers

Weitere Informationen dazu finden sich im Originalbeitrag.

Adwind lädt Loki von einer anderen kompromittierten Website (hxxp://lauramoretongriffiths[.]com/wp-content/uploads/2013/09/ieei[.]exe) herunter. Loki war als Stealer von Passwörtern und Kryptowährungs-Wallets bekannt, die in Hacking-Foren verkauft werden. Loki kann auch Daten von FTP Clients wie Filezilla, Webbrowsern sowie Email Clients etwa Microsoft Outlook und Mozilla Thunderbird sammeln. Darüber hinaus stiehlt die Malware von IT-Administrations Tools wie PuTTY, einem Terminal-Emulator, Systemkonsole und Netzwerk-Dateitransfer-Anwendung. Schließlich fungiert sie noch als Malware Loader, der Tastaturbewegungen aufnehmen kann.

Adwind und DUNIHI

Eine Adwind-Variante wurde auch in einem Bundle mit DUNIHI entdeckt. Ein JAR Dropper (JAVA_JRAT.DRP), der als VBS Dropper (VBS_JRAT.DRP) verteilt wird, kommt via Spam Mail und legt sowohl DUNIHI als auch Adwind ab und führt beide aus. Dabei prüft der VBS Dropper, ob das betroffene System die Java Runtime Environment (JRE) einsetzt, um gegebenenfalls ein JRE dafür herunterzuladen und zu installieren. Damit wird das letzte Hindernis für Adwind aus dem Weg geräumt.

Adwind besitzt dieselben Routinen wie obige Malware, und DUNIHI hat folgende Backdoor-Fähigkeiten: Download, Upload und Ausführen von Dateien, sich selbst updaten und deinstallieren, Auflisten von Treibern, Dateien, Ordnern und Prozessen, Ausführen von Shell-Befehlen, Löschen von Dateien und Ordnern sowie Beenden von Prozessen.

Gegenmaßnahmen und Lösungen

Unternehmen sollten eine mehrschichtige Verteidigung aufbauen, um Gateways, Endpunkte, Netzwerke, Server und Mobilgeräte vor plattformübergreifenden Bedrohungen wie Adwind zu schützen. Auch müssen IT-Administratoren die Netzwerke und Systeme regelmäßig aktualisieren.

Da beide Varianten von Adwind über Mail ankommen, ist es von kritischer Bedeutung, das Email Gateway abzusichern gegen Bedrohungen, die Mail als Eintrittspunkt nutzen. Zudem ist die Schulung der Mitarbeiter bezüglich der Gefahren durch Social Engineering-Taktiken wichtig. Trend Micro liefert einen kostenlosen Phishing-Simulations- und Nutzertraining-Service dafür.

Darüber hinaus können sich Unternehmen mithilfe der Endpunktelösungen von Trend Micro™ wie etwa Trend Micro Smart Protection Suites und Trend Micro Worry-Free Services Advanced schützen. Beide bieten Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken, sowie das Erkennen bösartiger Dateien und Blocken aller dazu gehörigen bösartigen URLs. Netzwerkschutz bietet Trend Micro Deep Discovery Inspector, der über die Sandbox und Scanning bösartige Anhänge und URLs erkennen und blocken kann.

Trend Micro Hosted Email Security ist eine wartungsfreie cloudbasierte Lösung, die permanent aktuellen Schutz bietet und Spam, Malware, Spear-Phishing und komplexe, zielgerichtete Angriffe stoppt, bevor sie Ihr Netzwerk erreichen. Hosted Email Security schützt Microsoft Exchange, Microsoft Office 365, GoogleApps sowie viele weitere gehostete und lokale E-Mail-Lösungen. E-Mail-Verschlüsselung ist in der Basisversion bereits enthalten.

Trend Micro™ Smart Protection for Endpoints mit XGen™ Security kombiniert Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern.

Indicators of Compromise (IoCs) enthält der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.