SOC Prime Bias: Kritisch

18 Jun 2026 14:28 UTC
newspaper icon picussecurity.com

SloppyLemming Angriffstechniken & BurrowShell Hintertür Erklärt

Author Photo
SOC Prime Team linkedin icon Folgen
SloppyLemming Angriffstechniken & BurrowShell Hintertür Erklärt
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

SloppyLemming ist eine Cyber-Spionagegruppe, die kritische Industrien in Süd- und Ostasien ins Visier nimmt. Die Gruppe setzt auf Spear-Phishing, um maßgeschneiderte Malware zu liefern, darunter die BurrowShell-Backdoor und einen Keylogger auf Rust-Basis. Zudem wird Cloudflare Workers umfangreich genutzt, um Command-and-Control-Aktivitäten und Operationen zur Zugangsdaten-Diebstahl zu unterstützen.

Untersuchung

Der Bericht beschreibt eine mehrstufige Kampagne mit bösartigen Excel-Makros und gefälschten Authentifizierungsportalen. Forscher identifizierten Cloudflare-Subdomains, die so gestaltet wurden, dass sie Regierungsbehörden imitieren, und analysierten den maßgeschneiderten Shellcode der Gruppe sowie ihre Keylogger-Fähigkeiten. Die Untersuchung zeigte auch, wie SloppyLemming statische Analysen durch dynamische API-Auflösung und RC4-verschlüsselte Payloads umgeht.

Minderung

Organisationen sollten starke E-Mail-Filter einsetzen, um bösartige Anhänge und Phishing-Links vor der Zustellung zu blockieren. Sicherheitsteams sollten auf nicht autorisierte Modifikationen des Run-Schlüssels und verdächtige übergeordnete-untergeordnete Prozessbeziehungen, einschließlich NGenTask.exe , die unerwartete DLLs laden, überwachen. Die Erkennung sollte auch ungewöhnlichen Cloudflare-Worker-Verkehr und Anzeichen unerlaubter OAuth-Token-Nutzung abdecken.

Reaktion

Wird diese Aktivität festgestellt, isolieren Sie die betroffenen Systeme sofort, um eine weitere Exfiltration über den Command-and-Control-Kanal zu verhindern. Führen Sie Speicherforensik durch, um den BurrowShell-Shellcode wiederherzustellen und das Ausmaß der Kompromittierung zu bestimmen. Setzen Sie Zugangsdaten von Konten zurück, die möglicherweise durch den Keylogger oder OAuth-Abfang abgefangen wurden, mit besonderem Augenmerk auf Google-Konten.

graph TB %% Klassendefinitionen classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef evasion fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#9b59b6,stroke:#333,stroke-width:2px classDef discovery fill:#f1c40f,stroke:#333,stroke-width:2px classDef collection fill:#1abc9c,stroke:#333,stroke-width:2px classDef command_control fill:#34495e,stroke:#333,stroke-width:2px classDef exfiltration fill:#d35400,stroke:#333,stroke-width:2px %% Knoten für den initialen Zugriff ia_spearphish_attach[„<b>Aktion</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/>Schädliche Microsoft-Excel-Tabellen<br/>mit enthaltenen VBA-Makros.“] class ia_spearphish_attach initial_access ia_spearphish_link[„<b>Aktion</b> – <b>T1566.002 Phishing: Spearphishing Link</b><br/>Täuschende Webmail-Portale oder<br/>verfälschte PDF-Köder.“] class ia_spearphish_link initial_access %% Ausführungsknoten ex_vba_interpreter[„<b>Aktion</b> – <b>T1059.005 Command and Scripting Interpreter: Visual Basic</b><br/>Makros führen Downloads aus und starten<br/>schädliche Dateien wie audiodg.exe und sppc.dll.“] class ex_vba_interpreter execution %% Persistenzknoten pe_registry_run[„<b>Aktion</b> – <b>T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder</b><br/>Ein Registry-Eintrag wird erstellt,<br/>der als OneDrive getarnt ist.“] class pe_registry_run persistence %% Knoten zur Umgehung von Sicherheitsmechanismen ev_api_hashing[„<b>Aktion</b> – <b>T1027.007 Obfuscated Files or Information: Dynamic API Resolution</b><br/>Die BurrowShell-Backdoor löst<br/>Windows-APIs durch Hashing auf.“] class ev_api_hashing evasion ev_rc4_encryption[„<b>Aktion</b> – <b>T1027.013 Obfuscated Files or Information: Encrypted/Encoded File</b><br/>Shellcode wird als<br/>RC4-verschlüsseltes Blob verborgen.“] class ev_rc4_encryption evasion ev_masquerading[„<b>Aktion</b> – <b>T1036.005 Masquerading: Match Legitimate Name or Location</b><br/>Dateien werden in system32.dll<br/>oder mscorsvc.dll umbenannt.“] class ev_masquerading evasion ev_dll_hijack[„<b>Aktion</b> – <b>T1574.001 Hijack Execution Flow: DLL Search Order Hijacking</b><br/>Manipulation des Ausführungsflusses durch<br/>legitime Binärdateien wie NGenTask.exe.“] class ev_dll_hijack evasion %% Knoten für den Zugriff auf Zugangsdaten ca_keylogger[„<b>Aktion</b> – <b>T1056 Input Capture: Keylogging</b><br/>Rust-basierter Keylogger erfasst<br/>Tastatureingaben und Google-OAuth-Tokens.“] class ca_keylogger credential_access %% Entdeckungsknoten di_sys_info[„<b>Aktion</b> – <b>T1082 System Information Discovery</b><br/>BurrowShell sammelt Systeminformationen,<br/>einschließlich Computername und Benutzername.“] class di_sys_info discovery %% Sammlungsknoten co_archive_data[„<b>Aktion</b> – <b>T1560 Archive Collected Data</b><br/>Python-basierte Webtreiber durchsuchen<br/>und laden E-Mail-Anhänge herunter.“] class co_archive_data collection %% Command-and-Control-Knoten cc_web_protocols[„<b>Aktion</b> – <b>T1071.001 Application Layer Protocol: Web Protocols</b><br/>HTTPS-Kommunikation mit C2-Infrastruktur,<br/>die auf Cloudflare Workers gehostet wird.“] class cc_web_protocols command_control %% Exfiltrationsknoten ex_c2_channel[„<b>Aktion</b> – <b>T1041 Exfiltration Over C2 Channel</b><br/>Übertragung erfasster Daten, Dateien<br/>und Bildschirmaufnahmen an Angreifer.“] class ex_c2_channel exfiltration %% Angriffsketten-Verbindungen ia_spearphish_attach –>|führt_zu| ex_vba_interpreter ia_spearphish_link –>|führt_zu| ex_vba_interpreter ex_vba_interpreter –>|etabliert| pe_registry_run ex_vba_interpreter –>|verwendet| ev_api_hashing ex_vba_interpreter –>|verwendet| ev_rc4_encryption ex_vba_interpreter –>|verwendet| ev_masquerading ex_vba_interpreter –>|verwendet| ev_dll_hijack ex_vba_interpreter –>|setzt_ein| ca_keylogger ca_keylogger –>|löst_aus| di_sys_info di_sys_info –>|geht_voraus| co_archive_data co_archive_data –>|kommuniziert_über| cc_web_protocols cc_web_protocols –>|ermöglicht| ex_c2_channel

Angriffsfluss

Simulationsausführung

Voraussetzung: Die Telemetrie- & Baseline-Vorflug-Überprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die exakte von der Erkennungslogik erwartete Telemetrie zu erzeugen. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffsablauf & Befehle: Ein Angreifer versucht, die Persistenz aufrechtzuerhalten und Code unauffällig auszuführen. Er versucht, den audiodg.exe Prozessablauf zu kapern, indem er mscorsvc.dll als Argument übergibt, eine bekannte Technik von SloppyLemming. Um die Erkennung weiter zu erschweren, kann er auch versuchen, seine Präsenz zu maskieren, indem er einen sekundären bösartigen Prozess OneDrive.exe im Befehlsstring benennt. Ziel ist es, die Erkennungsregel auszulösen, indem die spezifische Kombination von audiodg.exe und dem verdächtigen DLL oder maskierten Namen übereinstimmt.

  • Regressions-Testskript:

    # Simulationsskript: SloppyLemming TTP-Emulation
# Szenario 1: Kapern von audiodg.exe mit mscorsvc.dll
Write-Host "[+] Simulieren des Hijacking von audiodg.exe mit mscorsvc.dll..."
Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden

# Szenario 2: Verschleierung über OneDrive.exe in der Befehlszeile
Write-Host "[+] Simulieren der Ausführung von audiodg.exe mit OneDrive.exe-Verschleierung..."
Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden

  • Cleanup-Befehle:

    # Bereinigung: Es werden keine permanenten Artefakte durch die cmd /c Befehle erstellt,
# aber wir stellen sicher, dass keine verbleibenden verdächtigen Prozesse existieren.
Stop-Process -Name "cmd" -ErrorAction SilentlyContinue

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten