SOC Prime Bias: Medium

11 Mai 2026 17:48
newspaper icon Netskope

OpenClaws Hologram liefert einen gefälschten Installer und Rust-Infostealer

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
OpenClaws Hologram liefert einen gefälschten Installer und Rust-Infostealer
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Ein ausgeklügelter, auf Rust basierender Infostealer wird über einen gefälschten OpenClaw-Installer verbreitet. Der initiale Dropper, der als Hologram verfolgt wird, wendet mehrere Sandbox-Vermeidungstechniken an, bevor ein sechskomponenten-modulares Implantat bereitgestellt wird. Die Operation missbraucht auch legitime Plattformen wie Azure DevOps, Telegram und Hookdeck für Befehls-und-Kontroll- und Dead-Drop-Lieferungen. Ihr Hauptziel ist es, Anmeldedaten aus Kryptowährungs-Wallets und Passwort-Manager-Browser-Erweiterungen zu stehlen.

Untersuchung

Netskope Threat Labs untersuchte zwei Kampagnenwellen, Hologram und Pathfinder, und kartierte die vollständige Infektionskette vom gefälschten Installer bis zu den finalen Credential-Diebstahls-Modulen. Ihre Analyse deckte Anti-VM-Checks, eine Anforderung an Mausbewegungen, einen PowerShell-Runner, der Microsoft Defender deaktiviert, und mehrere Persistenzmethoden auf, einschließlich Run-Tasten, einem Winlogon userinit Hijack, geplante Aufgaben und COM-Hijacking. Forscher beobachteten auch häufige Infrastrukturänderungen über Domänen, Telegram-Kanäle und Hookdeck-Webhooks.

Abwehrmaßnahmen

Verteidiger sollten den Download des gefälschten OpenClaw-Installers blockieren und auf die große 130 MB Rust-PE achten, die mit der Kampagne verbunden ist. Sicherheitsteams sollten auch die Erstellung der OneDriveSync.lnk Verknüpfung im Autostart-Ordner erkennen und Registrierungsmodule beobachten, die Winlogon userinitbetreffen. Der ausgehende Zugriff auf Azure DevOps, die Telegram-API und Hookdeck-Endpunkte sollte auf Nicht-Entwickler-Systemen streng kontrolliert werden. Firewall-Regeln sollten auch eingehende Verbindungen auf den Ports 56001 bis 57002.

Reaktion

Wenn die Bedrohung erkannt wird, sollte der betroffene Endpunkt sofort isoliert, die abgeworfenen Binärdateien und zugehörigen Dateien gesammelt und eine forensische Analyse der Registrierung und geplanten Aufgaben vorgenommen werden. Jegliche exponierten Azure DevOps-Tokens sollten widerrufen und kompromittierte Telegram-Bot-Anmeldeinformationen sollten rotiert werden. Detektionsinhalte sollten dann aktualisiert werden, um die beobachteten Mutexes, Dateinamen und Netzwerkindikatoren einzuschließen. Betroffene Stakeholder sollten informiert und ein Bericht bei der CERT oder den betroffenen Dienstanbietern in Betracht gezogen werden.

"graph TB %% Klassendefinitionen classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#ffe699 classDef process fill:#ff9999 classDef shortcut fill:#c2f0c2 classDef registry fill:#c2d6f0 classDef scheduled fill:#f0c2c2 classDef c2 fill:#d9c2f0 %% Knotendefinitionen file_openclaw["<b>Datei</b>: OpenClaw_x64.exe<br/><b>Typ</b>: Gefälschter Installer"] class file_openclaw file initial_access["<b>Technik</b> – <b>T1204.002 Benutzer-Ausführung: Bösartige Datei</b><br/><b>Beschreibung</b>: Opfer führt bösartigen Installer von openclawu2011installer.com aus"] class initial_access technique defense_evasion_vm["<b>Technik</b> – <b>T1497.002 Virtualisierung/Sandbox-Vermeidung: Benutzeraktivitätsbasierte Überprüfungen</b><br/><b>Beschreibung</b>: Dropper prüft auf VM, Hardware-Fingerabdruck und wartet auf Mausbewegung"] class defense_evasion_vm technique defense_evasion_firewall["<b>Technik</b> – <b>T1562.004 Abwehrmaßnahmen beeinträchtigen: Firewall deaktivieren oder ändern</b><br/><b>Beschreibung</b>: PowerShell deaktiviert Windows Defender und öffnet eingehende Ports 56001u201157002"] class defense_evasion_firewall technique tool_powershell["<b>Werkzeug</b>: PowerShell<br/><b>Beschreibung</b>: Führt Skripte aus, um Sicherheitskomponenten zu deaktivieren"] class tool_powershell tool execution_reflective["<b>Technik</b> – <b>T1620 Reflektives Code-Laden</b><br/><b>Beschreibung</b>: Entschlüsselte Stufe-2-Binärdateien werden in Speicher über memexec ausgeführt"] class execution_reflective technique execution_injection["<b>Technik</b> – <b>T1055.002 Prozessinjektion: Portable Executable Injection</b><br/><b>Beschreibung</b>: svc_service.exe injiziert Payloads über direkte NT-Systemaufrufe"] class execution_injection technique process_svc["<b>Prozess</b>: svc_service.exe<br/><b>Beschreibung</b>: Hält CLR und führt Injektion aus"] class process_svc process persistence_shortcut["<b>Technik</b> – <b>T1547.009 Verknüpfung Modifikation</b><br/><b>Beschreibung</b>: LNK Verknüpfung im Autostart-Ordner platziert"] class persistence_shortcut technique file_shortcut["<b>Datei</b>: OneDriveSync.lnk<br/><b>Ort</b>: Autostart-Ordner"] class file_shortcut shortcut persistence_hijack["<b>Technik</b> – <b>T1574 Ausführungsfluss Hijacking</b><br/><b>Beschreibung</b>: Registrierung ändert WinLogon Userinit, COM-Hijacking, geplante Aufgabenerstellung"] class persistence_hijack technique node_registry["<b>Registrierung</b>: WinLogon Userinit Änderung<br/><b>Aktion</b>: Ändert die Ausführungsreihenfolge"] class node_registry registry node_task["<b>Geplante Aufgabe</b>: Anmeldeaufgabe<br/><b>Aktion</b>: Führt Payload bei Benutzeranmeldung aus"] class node_task scheduled c2_dead_drop["<b>Technik</b> – <b>T1102.001 Webdienst: Dead Drop Resolver</b><br/><b>Beschreibung</b>: Ruft C2-Domain aus der Telegram-Kanalbeschreibung ab"] class c2_dead_drop technique c2_telegram["<b>C2 Kanal</b>: Telegram Beschreibung"] class c2_telegram c2 c2_bidirectional["<b>Technik</b> – <b>T1102.002 Webdienst: Bidirektionale Kommunikation</b><br/><b>Beschreibung</b>: Kommuniziert über Hookdeck webhook relay und Telegram Bot API"] class c2_bidirectional technique tool_hookdeck["<b>Werkzeug</b>: Hookdeck webhook relay<br/><b>Beschreibung</b>: Leitet HTTP-Anfragen weiter"] class tool_hookdeck tool tool_telegram_bot["<b>Werkzeug</b>: Telegram Bot API<br/><b>Beschreibung</b>: Liefert bidirektionale Nachrichtenübermittlung"] class tool_telegram_bot tool %% Verbindungen file_openclaw –>|triggert| initial_access initial_access –>|führt zu| defense_evasion_vm defense_evasion_vm –>|führt zu| defense_evasion_firewall defense_evasion_firewall –>|ausgeführt von| tool_powershell defense_evasion_firewall –>|führt zu| execution_reflective execution_reflective –>|lädt in| process_svc process_svc –>|führt aus| execution_injection execution_injection –>|erstellt| file_shortcut file_shortcut –>|ermöglicht| persistence_shortcut persistence_shortcut –>|unterstützt| persistence_hijack persistence_hijack –>|modifiziert| node_registry persistence_hijack –>|erstellt| node_task persistence_hijack –>|erhält| c2_dead_drop c2_dead_drop –>|Quelle| c2_telegram c2_dead_drop –>|benutzt| c2_bidirectional c2_bidirectional –>|leitet über| tool_hookdeck c2_bidirectional –>|kommuniziert über| tool_telegram_bot "

Angriffsfluss

Simulation Ausführung

Voraussetzung: Der Telemetrie- & Grundlinien-Pre-Flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die zum Auslösen der Erkennungsregel ausgelegt ist. Die Befehle und Erzählungen spiegeln direkt die identifizierten TTPs wider und sollen die genaue Telemetrie erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffs-Narrativ & Befehle:

    Ein Gegner erwirbt den bösartigen OpenClaw-gefälschten Installer (OpenClaw_x64.exe).
    Der Benutzer, der glaubt, es sei ein legitimes Wallet-Tool, führt den Installer aus (T1204).
    Der Installer startet sofort eine einzige Befehlszeile, die alle sechs bösartigen Payload-Binärdateien auf einmal erzeugt, um Sandbox-Heuristiken zu umgehen und ein modulares Implantat-Framework zu etablieren (T1027.009, T1608.001, T1546.016, T1127).

    Die genaue Befehlszeile, die von der Regel erwartet wird, lautet:

    OpenClaw_x64.exe svc_service.exe virtnetwork.exe onedrive_sync.exe audioeq.exe WinHealhCare.exe OneSync.exe

  • Regressionstest-Skript:

    # -------------------------------------------------
# Simulationsskript – löst die OpenClaw-Erkennung aus
# -------------------------------------------------
$installerPath = "C:TempOpenClaw_x64.exe"

# Sicherstellen, dass der Dummy-Installer existiert (harmlosen Platzhalter erstellen)
if (-not (Test-Path $installerPath)) {
    New-Item -ItemType File -Path $installerPath -Force | Out-Null
}

# Erstellen der Argumentliste mit allen sechs Payload-Namen
$payloads = @(
    "svc_service.exe",
    "virtnetwork.exe",
    "onedrive_sync.exe",
    "audioeq.exe",
    "WinHealhCare.exe",
    "OneSync.exe"
)
$argString = $payloads -join " "

# Starten Sie den Installer mit der vollständigen bösartigen Befehlszeile
Write-Host "Bösartigen Installer starten..."
Start-Process -FilePath $installerPath -ArgumentList $argString -NoNewWindow

# Warten Sie einige Sekunden, um Sysmon / Sicherheit das Ereignis protokollieren zu lassen
Start-Sleep -Seconds 5
Write-Host "Simulation abgeschlossen. Überprüfen Sie SIEM auf Warnung."

  • Bereinigungsbefehle:

    # -------------------------------------------------
# Bereinigungsskript – entfernt für den Test erstellte Artefakte
# -------------------------------------------------
$installerPath = "C:TempOpenClaw_x64.exe"
if (Test-Path $installerPath) {
    Remove-Item -Path $installerPath -Force
}

# Optional beenden Sie verbleibende Dummy-Payload-Prozesse (sie sind nur Platzhalter)
Get-Process -Name "svc_service","virtnetwork","onedrive_sync","audioeq","WinHealhCare","OneSync" -ErrorAction SilentlyContinue |
    Stop-Process -Force
Write-Host "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten