SOC Prime Bias: Hoch

17 Apr 2026 14:27 UTC

Einen Affiliate enttarnen: SmokedHam, Qilin, ein paar Google-Anzeigen und etwas Bossware

Author Photo
SOC Prime Team linkedin icon Folgen
Einen Affiliate enttarnen: SmokedHam, Qilin, ein paar Google-Anzeigen und etwas Bossware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Orange Cyberdefense berichtete, dass Anfang 2026 ein Ransomware-Partner das SmokedHam-Backdoor über bösartige Anzeigen verbreitete, die als legitime Dienstprogramme getarnt waren. In mindestens einem bestätigten Einbruch wurde das Backdoor später genutzt, um die Qilin-Ransomware bereitzustellen. Forscher führten die Aktivitäten mit mittlerer Zuversicht auf den russischsprachigen Partner UNC2465 zurück, einen Bedrohungsakteur, der zuvor mit Operationen von DarkSide, LockBit und Hunters International in Verbindung gebracht wurde.

Untersuchung

Die Untersuchung überprüfte mehr als 30 SmokedHam-Proben, die im Jahr 2025 und 2026 gesammelt wurden, und identifizierte Malvertising-Domains, die auf Cloudflare Workers für Domain-Fronting in Verbindung mit AWS-gehosteter Infrastruktur angewiesen waren. Analysten dokumentierten auch den Missbrauch legitimer Tools wie PuTTY und Total Commander, um bösartige Aktivitäten in normale administrative Abläufe einzubinden. Der Bericht hob zudem taktische Überschneidungen mit zuvor UNC2465 zugeschriebenen Aktivitäten hervor.

Minderung

Verteidiger sollten die bekannten Malvertising-Domains blockieren, Anwendungs-Whitelisting für Tools wie RVTools und Remote Desktop Manager erzwingen und ungewöhnliche Nutzung legitimer administrativer Dienstprogramme überwachen. Der Schutz der Endpunkterkennung sollte auch verstärkt werden, um SmokedHam-Backdoor-Verhalten und damit verbundene Aktivitäten nach einem Einbruch zu identifizieren. Der Einsatz cloudbasierter Bedrohungsinformations-Feeds kann die Erkennungs- und Anreicherungsefforts weiter verbessern.

Reaktion

Falls verdächtige Aktivitäten identifiziert werden, isolieren Sie den betroffenen Host sofort, sammeln Sie forensische Artefakte und suchen Sie nach Indikatoren, die mit sowohl SmokedHam als auch Qilin verbunden sind. Ermittler sollten auch feststellen, ob bereits ein Diebstahl von Anmeldedaten oder eine Ransomware-Verschlüsselung stattgefunden hat. Eine umfassendere Bedrohungsjagd in der verbundenen Infrastruktur wird empfohlen, ebenso wie die Aktivierung der etablierten Reaktionsverfahren für Ransomware-Vorfälle.

Angriffsfluss

Simulation

Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden

Benachrichtigen Sie mich