SloppyLemming Angriffstechniken & BurrowShell Hintertür Erklärt
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
SloppyLemming ist eine Cyber-Spionagegruppe, die kritische Industrien in Süd- und Ostasien ins Visier nimmt. Die Gruppe setzt auf Spear-Phishing, um maßgeschneiderte Malware zu liefern, darunter die BurrowShell-Backdoor und einen Keylogger auf Rust-Basis. Zudem wird Cloudflare Workers umfangreich genutzt, um Command-and-Control-Aktivitäten und Operationen zur Zugangsdaten-Diebstahl zu unterstützen.
Untersuchung
Der Bericht beschreibt eine mehrstufige Kampagne mit bösartigen Excel-Makros und gefälschten Authentifizierungsportalen. Forscher identifizierten Cloudflare-Subdomains, die so gestaltet wurden, dass sie Regierungsbehörden imitieren, und analysierten den maßgeschneiderten Shellcode der Gruppe sowie ihre Keylogger-Fähigkeiten. Die Untersuchung zeigte auch, wie SloppyLemming statische Analysen durch dynamische API-Auflösung und RC4-verschlüsselte Payloads umgeht.
Minderung
Organisationen sollten starke E-Mail-Filter einsetzen, um bösartige Anhänge und Phishing-Links vor der Zustellung zu blockieren. Sicherheitsteams sollten auf nicht autorisierte Modifikationen des Run-Schlüssels und verdächtige übergeordnete-untergeordnete Prozessbeziehungen, einschließlich NGenTask.exe , die unerwartete DLLs laden, überwachen. Die Erkennung sollte auch ungewöhnlichen Cloudflare-Worker-Verkehr und Anzeichen unerlaubter OAuth-Token-Nutzung abdecken.
Reaktion
Wird diese Aktivität festgestellt, isolieren Sie die betroffenen Systeme sofort, um eine weitere Exfiltration über den Command-and-Control-Kanal zu verhindern. Führen Sie Speicherforensik durch, um den BurrowShell-Shellcode wiederherzustellen und das Ausmaß der Kompromittierung zu bestimmen. Setzen Sie Zugangsdaten von Konten zurück, die möglicherweise durch den Keylogger oder OAuth-Abfang abgefangen wurden, mit besonderem Augenmerk auf Google-Konten.
Angriffsfluss
Erkennungen
Möglicher Missbrauch von Cloudflare-Entwicklungsdomänen (via DNS)
Ansicht
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via Registry-Ereignis)
Ansicht
Mögliche bösartige Dateidoppel-Endung (via Prozess-Erstellung)
Ansicht
SloppyLemming C2 Kommunikationsüberwachung via BurrowShell [Windows-Netzwerkverbindung]
Ansicht
Erkennung bösartiger Aktivitäten durch die SloppyLemming-Gruppe [Windows-Prozess-Erstellung]
Ansicht
Simulationsausführung
Voraussetzung: Die Telemetrie- & Baseline-Vorflug-Überprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die exakte von der Erkennungslogik erwartete Telemetrie zu erzeugen. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffsablauf & Befehle: Ein Angreifer versucht, die Persistenz aufrechtzuerhalten und Code unauffällig auszuführen. Er versucht, den
audiodg.exeProzessablauf zu kapern, indem ermscorsvc.dllals Argument übergibt, eine bekannte Technik von SloppyLemming. Um die Erkennung weiter zu erschweren, kann er auch versuchen, seine Präsenz zu maskieren, indem er einen sekundären bösartigen ProzessOneDrive.exeim Befehlsstring benennt. Ziel ist es, die Erkennungsregel auszulösen, indem die spezifische Kombination vonaudiodg.exeund dem verdächtigen DLL oder maskierten Namen übereinstimmt. -
Regressions-Testskript:
# Simulationsskript: SloppyLemming TTP-Emulation # Szenario 1: Kapern von audiodg.exe mit mscorsvc.dll Write-Host "[+] Simulieren des Hijacking von audiodg.exe mit mscorsvc.dll..." Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden # Szenario 2: Verschleierung über OneDrive.exe in der Befehlszeile Write-Host "[+] Simulieren der Ausführung von audiodg.exe mit OneDrive.exe-Verschleierung..." Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden -
Cleanup-Befehle:
# Bereinigung: Es werden keine permanenten Artefakte durch die cmd /c Befehle erstellt, # aber wir stellen sicher, dass keine verbleibenden verdächtigen Prozesse existieren. Stop-Process -Name "cmd" -ErrorAction SilentlyContinue