SOC Prime Bias: Kritisch

10 Dez. 2025 19:28
newspaper icon Acronis

Makop-Ransomware-Angriffe auf indische Unternehmen: Lieferung durch GuLoader und Privilegienerweiterung

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Makop-Ransomware-Angriffe auf indische Unternehmen: Lieferung durch GuLoader und Privilegienerweiterung
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Makop-Ransomware, ein Typ innerhalb der Phobos-Familie, trifft Organisationen, indem sie missbrauchte offengelegte RDP-Dienste (Remote Desktop Protocol) ausnutzt und handelsübliche Werkzeuge für Erkennung, laterale Bewegung und Privilegienstufung nutzt. Die Kampagne umfasst neue Elemente, darunter den GuLoader-Downloader und mehrere lokale Privilegienstufungs-Exploits. Angreifer platzieren die Ransomware-Binärdatei in Benutzerverzeichnissen unter irreführenden Dateinamen. Die Bedrohung zielt hauptsächlich auf indische Unternehmen, wobei Aktivitäten auch in Brasilien und Deutschland beobachtet wurden.

Untersuchung

Die Acronis Threat Research Unit untersuchte jüngste Makop-Fälle und kartierte eine wiederholbare Angriffskette, die mit RDP-Brute-Force-Versuchen beginnt, dann zu Netzwerkscans, Anmeldeinformationsabwürfen und der Ausführung mehrerer CVE-getriebener Privilegienerhöhung-Exploits fortschreitet. GuLoader lieferte Folge-Loads wie AgentTesla und FormBook. Ermittler dokumentierten auch die AV-Tötungs-Werkzeuge, verwundbaren Treiber und benutzerdefinierten Uninstaller, die zur Neutralisierung von Sicherheitslösungen verwendet wurden.

Abmilderung

Empfohlene Verteidigungen umfassen die Durchsetzung von Multi-Faktor-Authentifizierung auf RDP, die Eliminierung jeglicher internet-exponierter RDP-Endpunkte, die Anwendung von Patches für alle referenzierten CVEs, die Überwachung bekannter Loader-Binärdateien und AV-Killer-Utilities sowie der Einsatz von Endpunkterkennung zur Blockierung verdächtiger Skript-Ausführung. Die Aktualisierung der Windows Defender-Signaturen und die Einschränkung der Verwendung unsignierter oder nicht vertrauenswürdiger Treiber reduziert zudem die Exposition gegenüber den beobachteten Techniken.

Antwort

Sobald eine Aktivität erkannt wird, isolieren Sie sofort den betroffenen Host, beenden Sie GuLoader- oder verdächtige Downloader-Prozesse und erfassen Sie flüchtigen Speicher zur Analyse. Führen Sie eine umfassende Überprüfung potenzieller Anmeldeinformationsabwürfe durch, blockieren Sie bekannte bösartige Dateihashes und -namen, und beheben Sie die ausgenutzten CVEs. Wo möglich, stellen Sie verschlüsselte Daten aus verifizierten Backups wieder her und benachrichtigen die entsprechenden Incident-Response- und Management-Teams.

mermaid graph TB %% Class Definitions Section classDef action fill:#99ccff %% Node definitions initial_access_rdp[„<b>Aktion</b> – <b>T1021.001 Remote Services: RDP</b><br /><b>Beschreibung</b>: Brute-Force-RDP-Login mit NLBrute“] class initial_access_rdp action defense_evasion_impair[„<b>Aktion</b> – <b>T1562 Beeinträchtigung von Verteidigungen</b><br /><b>Beschreibung</b>: Deaktivieren des Windows Defenders über disable-defender.exe und Ausnutzen verwundbarer Treiber“] class defense_evasion_impair action priv_esc_exploit[„<b>Aktion</b> – <b>T1068 Ausnutzung zur Privilegienstufung</b><br /><b>Beschreibung</b>: Ausnutzen von CVE-2017-0213, CVE-2018-8639, CVE-2021-41379, CVE-2016-0099“] class priv_esc_exploit action discovery_remote[„<b>Aktion</b> – <b>T1018 Entdeckung von entfernten Systemen</b><br /><b>Beschreibung</b>: Internes Netzwerk scannen mit NetScan, Advanced IP Scanner, Masscan“] class discovery_remote action lateral_movement_rdp[„<b>Aktion</b> – <b>T1021 Remote Services</b><br /><b>Beschreibung</b>: Verwendung gestohlener Anmeldeinformationen für RDP und SMB-Laterale Bewegung“] class lateral_movement_rdp action credential_dumping[„<b>Aktion</b> – <b>T1003 Betriebssystem-Anmeldeinformationen-Abwurf</b><br /><b>Beschreibung</b>: Extraktion von Anmeldeinformationen über Mimikatz, LaZagne, NetPass“] class credential_dumping action execution_vbs[„<b>Aktion</b> – <b>T1059.005 Visual Basic</b><br /><b>Beschreibung</b>: Ausführen des VBS-Skripts, das von GuLoader abgelegt wurde“] class execution_vbs action impact_encrypt[„<b>Aktion</b> – <b>T1486 Daten verschlüsselt zum Beeinflussen</b><br /><b>Beschreibung</b>: Dateien mit Makop-Ransomware-Verschlüsseler verschlüsseln“] class impact_encrypt action %% Connections showing attack flow initial_access_rdp u002du002d>|führt_zu| defense_evasion_impair defense_evasion_impair u002du002d>|führt_zu| priv_esc_exploit priv_esc_exploit u002du002d>|führt_zu| discovery_remote discovery_remote u002du002d>|führt_zu| lateral_movement_rdp lateral_movement_rdp u002du002d>|führt_zu| credential_dumping credential_dumping u002du002d>|führt_zu| execution_vbs execution_vbs u002du002d>|führt_zu| impact_encrypt

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- & Baseline-Vorflug-Test muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:

    1. Vorbereitung: Der Angreifer erhält eine bösartige Version von ThrottleStop.sys die instrumentiert ist, um CVE-2025-7771 zur Privilegienstufung auszunutzen.
    2. Bereitstellung: Der Treiber wird in das Systemtreiberverzeichnis kopiert (C:WindowsSystem32drivers).
    3. Ausführung: Unter Verwendung von sc.exe erstellt der Angreifer einen Dienst und startet ihn, der den bösartigen Treiber lädt und dadurch den Prozess auf SYSTEM erhöht.
    4. Nach der Eskalation: Mit dem erhöhten Token kann der Angreifer hoch privilegierte Konten imitieren (T1134.005), aber dieser Schritt liegt außerhalb des Geltungsbereichs dieser Regel.

  • Regressionstest-Skript:

    # ----------------------------------------------------------------
# Simulation der ThrottleStop.sys-Ausnutzung (CVE-2025-7771)
# ----------------------------------------------------------------
$driverPath = "$env:SystemRootSystem32driversThrottleStop.sys"

# 1. Den bösartigen Treiber ablegen (hier verwenden wir eine Platzhalterkopie)
Write-Host "[*] Bösartige ThrottleStop.sys wird nach $driverPath kopiert"
# In einem realen Test die Quelle durch den tatsächlichen bösartigen Binärdatei ersetzen
Copy-Item -Path ".malicious_ThrottleStop.sys" -Destination $driverPath -Force

# 2. Den Treiber als Kernel-Dienst registrieren
Write-Host "[*] Dienst für den Treiber wird erstellt"
sc.exe create ThrottleStopSvc binPath= "$driverPath" type= kernel start= demand | Out-Null

# 3. Den Treiber starten (löst Sysmon ImageLoad aus)
Write-Host "[*] Treiberdienst wird gestartet"
sc.exe start ThrottleStopSvc | Out-Null

Write-Host "[+] Treiber geladen – sollte die Erkennungsregel auslösen."
# ----------------------------------------------------------------

  • Bereinigungskommandos:

    # Stoppen und Löschen des bösartigen Treiberdienstes
sc.exe stop ThrottleStopSvc | Out-Null
sc.exe delete ThrottleStopSvc | Out-Null

# Die Treiberdatei entfernen
Remove-Item -Path "$env:SystemRootSystem32driversThrottleStop.sys" -Force

Write-Host "[*] Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten