Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht untersucht, wie sich die PixyNetLoader-Malwarefamilie von APT28 zwischen 2024 und 2026 entwickelt hat. Der Loader wird durch bösartige Office-Dokumente geliefert, die ausnutzen CVE-2026-21509 und installiert eine COM-registrierte DLL, die eine versteckte Nutzlast aus PNG-Dateien mittels LSB-Steganografie extrahiert. Diese Nutzlast ist ein Covenant Grunt-Implantat, das über den FILEN-Cloud-Dienst kommuniziert. Forscher identifizierten vier unterschiedliche PixyNetLoader-Subfamilien und entwickelten eine einheitliche YARA-Regel zur Unterstützung der Erkennung über die Varianten hinweg.
Untersuchung
Analysten überprüften etwa 90 Malware-Beispiele und gruppierten sie in vier Subfamilien basierend auf gemeinsamen Funktionen und Rich-Header-Hash-Mustern. Sie fanden heraus, dass neuere Varianten, eingeführt im März 2026, neue Steganographie-Methoden hinzufügten, einschließlich AES-verschlüsselter Header und PBKDF2-basierter Schlüsselableitung. Die Untersuchung dokumentierte auch die relevanten Dateipfade, Registrierungsschlüssel und DLL-Exportnamen, die von der Malware verwendet werden, und erstellte YARA-Signaturen für gemeinsame Funktionalitäten innerhalb der Familie.
Minderung
Verteidiger sollten auf verdächtige COM-Registrierungen unbekannter DLLs, die speziellen CLSID-bezogenen Registrierungsschlüssel, die mit der Malware verbunden sind, und das Ablegen von PNG-Dateien an bekannten Bereitstellungsorten achten. Netzwerkschutzmaßnahmen sollten auch nach Verkehr zum FILEN-Dienst und nach Nutzlastmerkmalen, die den in den YARA-Regeln beschriebenen LSB-Steganografie-Mustern entsprechen, suchen. Organisationen sollten den Patch für CVE-2026-21509 anwenden und riskante Office-Makroausführung begrenzen oder deaktivieren, um die Exposition zu verringern.
Reaktion
Wird Aktivität des PixyNetLoader detektiert, sollte der betroffene Endpunkt isoliert, die bösartige DLL und die zugehörige PNG-Datei entfernt und alle kompromittierten COM-Registrierungen zurückgesetzt werden. Ermittler sollten die extrahierte Covenant Grunt-Nutzlast und relevante Netzwerkprotokolle sammeln und dann nach zugehörigen APT28-Werkzeugen wie SlimAgent oder Graphite suchen. Erkennungsinhalte sollten ebenfalls aktualisiert und Macrobeschränkungen konsistent in der gesamten Umgebung durchgesetzt werden.
Angriffsablauf
Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden.
Benachrichtigen Sie michErkennungen
Mögliche Explorer COM-Entführung (via registry_event)
Ansehen
Mögliche Outlook-basierte Persistenz (via registry_event)
Ansehen
Potentiell verdächtiges Verhalten bei Erstellen, Ausführen oder Löschen geplanter Aufgaben (via process_creation)
Ansehen
Verdächtige Taskkill-Ausführung (via cmdline)
Ansehen
Möglicher Missbrauch des Search / Search-MS-URI-Protokoll-Handlers (via cmdline)
Ansehen
Schtasks weist auf verdächtiges Verzeichnis/Binary/Skript hin (via cmdline)
Ansehen
LOLBAS Regsvr32 (via cmdline)
Ansehen
Mögliche Dateninfiltration/-exfiltration / C2 über Drittanbieterdienste/-tools (via cmdline)
Ansehen
Mögliche Explorer COM-Entführung (via file_event)
Ansehen
Mögliche Outlook-basierte Persistenz (via file_event)
Ansehen
Wahrscheinliche Nutzung von Windows-Hacktools [Teil1] (via file_event)
Ansehen
Mögliche Dateninfiltration/-exfiltration / C2 über Drittanbieterdienste/-tools (via dns_query)
Ansehen
Verdächtige geplante Aufgabe (via audit)
Ansehen
Mögliche Dateninfiltration/-exfiltration / C2 über Drittanbieterdienste/-tools (via proxy)
Ansehen
Mögliche Dateninfiltration/-exfiltration / C2 über Drittanbieterdienste/-tools (via dns)
Ansehen
IOCs (HashSha256) zum Erkennen: Verfolgung von APT28 PixyNetLoader: Entwicklungen von 2024 bis 2026 Teil 5
Ansehen
IOCs (HashSha256) zum Erkennen: Verfolgung von APT28 PixyNetLoader: Entwicklungen von 2024 bis 2026 Teil 4
Ansehen
IOCs (HashSha256) zum Erkennen: Verfolgung von APT28 PixyNetLoader: Entwicklungen von 2024 bis 2026 Teil 3
Ansehen
IOCs (HashSha256) zum Erkennen: Verfolgung von APT28 PixyNetLoader: Entwicklungen von 2024 bis 2026 Teil 2
Ansehen
IOCs (HashSha256) zum Erkennen: Verfolgung von APT28 PixyNetLoader: Entwicklungen von 2024 bis 2026 Teil 1
Ansehen
IOCs (HashMd5) zum Erkennen: Verfolgung von APT28 PixyNetLoader: Entwicklungen von 2024 bis 2026
Ansehen
Erkennen von PixyNetLoader-Steganografie-PNG-Dateien [Windows-Datei-Ereignis]
Ansehen
Simulationsausführung
Voraussetzung: Die Telemetrie- & Baseline-Pre‑flight-Überprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Texte MÜSSEN direkt die identifizierten TTPs widerspiegeln und sollen die genaue Telemetrie generieren, die von der Erkennungslogik erwartet wird.
-
Angriffsnarrativ & Befehle:
Ein APT28-Operator erhält eine bösartige Nutzlast (z.B. ein PowerShell-Backdoor) und bettet sie mit einem benutzerdefinierten Steganografie-Tool in ein PNG ein. Der Operator kopiert dann das erstellte PNG zu einem der bekannten PixyNetLoader-Ablageorte (SplashScreen.png). Der Datei-Schreibvorgang erzeugt ein Windows-Sicherheitsaudit-Ereignis (4663), das der Sigma-Regel entspricht und einen Alarm auslöst. Der Angreifer verlässt sich auf einen ‚Living‑off‑the‑land‘-Dateityp (PNG), um sich mit normalen Benutzerdaten zu vermischen und AV-Signaturen zu vermeiden. -
Regressionstest-Skript:
# -------------------------------------------------------------- # PixyNetLoader Steganografie-PNG-Simulation – löst Erkennung aus # -------------------------------------------------------------- # 1. Definieren Sie den Zielpfad (wählen Sie einen der drei überwachten Orte) $targetPath = "$env:USERPROFILEMicrosoft OneDrivesetupCacheSplashScreen.png" # 2. Erstellen Sie einen minimalen PNG-Header (8 Bytes) – bei einem echten Angriff würde dies # die steganografisch versteckte Nutzlast enthalten. $pngHeader = [byte[]] (0x89,0x50,0x4E,0x47,0x0D,0x0A,0x1A,0x0A) # 3. Fügen Sie eine Dummy-Nutzlast an (z.B. ein base64-encodiertes PowerShell-Skript) $payload = [Text.Encoding]::ASCII.GetBytes( "UE9TVCAiZXhlYyAiY2F0IC5leHQiIiA+ICJQYXlsb2FkIg==" ) # Base64 von: POST "exec "cat .ext"" > "Payload" $fileBytes = $pngHeader + $payload # 4. Schreiben Sie das erstellte PNG an den Zielort [IO.File]::WriteAllBytes($targetPath, $fileBytes) Write-Host "Bösartiges PNG wurde nach $targetPath bereitgestellt" -
Bereinigungsbefehle:
# Entfernen Sie das bösartige PNG, um den Host wiederherzustellen $targetPath = "$env:USERPROFILEMicrosoft OneDrivesetupCacheSplashScreen.png" if (Test-Path $targetPath) { Remove-Item -Path $targetPath -Force Write-Host "$targetPath entfernt" } else { Write-Host "Datei nicht gefunden – nichts zu bereinigen." }