Zscaler entdeckt neuen Remote-Access-Trojaner Shellreset

Das ThreatLabZ-Sicherheitsteam von Zscaler hat einen neuen Remote-Access-Trojaner (RAT) entdeckt, der aufgrund der einzigartigen Zeichenfolge in der finalen Payload auf den Namen „ShellReset“ getauft wurde. Im Februar und Mai 2020 wurden vier bösartige makrobasierte Microsoft-Word-Dokumente entdeckt, die auf neu registrierten Webseiten mit den Top-Level-Domains „.space“ und „.xyz“ gehostet wurden. Die Researcher schreiben alle Angriffe aufgrund von ähnlichen Taktiken, Techniken und Verfahren (TTPs) zur Bereitstellung der endgültigen Payload dem gleichen Cyberkriminellen zu.

Die finale .NET-Payload war, soweit Zscaler bekannt, zuvor noch nicht „in the wild“ aufgetaucht. Sie enthält einen kleinen Codeabschnitt, der sich mit dem des „QuasarRAT“ überschneidet. Aufgrund der wenigen Fälle, die in der Praxis beobachtet wurden, gehen die Sicherheitsforscher von gezielten Angriffen mit geringem Volumen aus. Die Cyberkriminellen nutzen wie so oft die Aufmerksamkeit rund um publikumswirksame Events, um ihren Schadcode zu verbreiten.

Dieses Dokument zeigt das Beispiel der 5G Expo 2020, das nach der Aktivierung der Makros angezeigt wurde.

 

Strategie zur Verbreitung des RAT

Die Infektionskette beinhaltet eine Reihe von interessanten Techniken. So wird beispielsweise das Kompilieren der Payload in Runtime unter Verwendung vertrauenswürdiger Windows-Utilities eingesetzt, um Sicherheitsmechanismen zu unterlaufen. Die nachfolgenden Schritte werden durch den Download von verschleiertem Quellcode vom Server des Angreifers eingeleitet.

Erstmalig wurde die Malware-Kampagne im Zusammenhang mit den zwei Events 5G Expo und Futurebild am 24. Februar 2020 in Dokumenten mit dem Dateinamen 5GExpo.doc. und FutureBuild.doc beobachtet, wobei jeweils Anmeldungs-Gutscheine für die Veranstaltungen nachgeahmt wurden. Diese beiden Dokumente wurden auf der Domäne „documentsharing[.]space“ gehostet, die am 21. Oktober 2019 registriert worden war. Im Folgenden tauchten mit Schadcode infizierte Dokumente wieder im Mai auf einer weiteren Domäne auf mit einem Dateianhang mit dem Namen Get%20Stared.doc auf. Dabei bedienten sich die Cyberkriminellen Textpassagen von legitimen Webseiten, um Authentizität ihre Inhalte zu suggerieren. Diesmal wurde die populäre Seite anonfiles.com zum Hosten des Dokuments nachgeahmt. Auffällig war allerdings die einheitliche Vorgehensweise in den URLs, die die Dokumente beinhalteten. Es wurde jeweils der Parameter “?clientEmail=” eingebaut, der die E-Mail-Adresse des Users beinhaltete, auf den ein gezielter Angriff ausgerichtet wurde.

Der Anwender wird zum Aktivieren der Marcos aufgefordert.

Sobald das makrobasierte Dokument geöffnet wird, erscheint der Hinweis, dass der Anwender Makros aktivieren muss, um die Inhalte des Dokuments zu sehen. Daraufhin wird die Auto_Open() Routine des Makros gestartet und der Angriff auf das betroffene System ausgeführt. In diesem Zug wird die genaue Identität des betroffenen Systems erfasst und die Windows-Sicherheitsmaßnahmen außer Kraft gesetzt. Nach erfolgreicher Registrierung des Bots auf dem C&C Server können vier Operationen ausgeführt werden, darunter das Ausführen von Code auf dem infizierten Rechner und im Folgenden das Auslesen aller Dateien eines bestimmten Pfads, bzw. die Remote gesteuerte Aufnahme von Screenshots des Systems. Die detaillierte Analyse des „ShellReset RAT“ ist im Zscaler-Blog nachzulesen unter https://www.zscaler.com/blogs/research/shellreset-rat-spread-through-macro-based-documents-using-applocker-bypass.

Als Sicherheitsmaßnahme empfehlen die Zscaler-ThreatLabZ-Analysten das Überprüfen der Quelle der übersendeten Dokumente und zwar bevor diese geöffnet werden. Als zusätzliche Vorsichtsmaßnahme sollten Benutzer keine Makros für Microsoft-Office-Dateien aktivieren, die nicht von vertrauenswürdigen Quellen stammen, um das Ausführen von bösartigem Code zu verhindern.

#Zscaler