Einen Affiliate enttarnen: SmokedHam, Qilin, ein paar Google-Anzeigen und etwas Bossware

SOC Prime Team

Folgen

Einen Affiliate enttarnen: SmokedHam, Qilin, ein paar Google-Anzeigen und etwas Bossware

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Orange Cyberdefense berichtete, dass Anfang 2026 ein Ransomware-Partner das SmokedHam-Backdoor über bösartige Anzeigen verbreitete, die als legitime Dienstprogramme getarnt waren. In mindestens einem bestätigten Einbruch wurde das Backdoor später genutzt, um die Qilin-Ransomware bereitzustellen. Forscher führten die Aktivitäten mit mittlerer Zuversicht auf den russischsprachigen Partner UNC2465 zurück, einen Bedrohungsakteur, der zuvor mit Operationen von DarkSide, LockBit und Hunters International in Verbindung gebracht wurde.

Untersuchung

Die Untersuchung überprüfte mehr als 30 SmokedHam-Proben, die im Jahr 2025 und 2026 gesammelt wurden, und identifizierte Malvertising-Domains, die auf Cloudflare Workers für Domain-Fronting in Verbindung mit AWS-gehosteter Infrastruktur angewiesen waren. Analysten dokumentierten auch den Missbrauch legitimer Tools wie PuTTY und Total Commander, um bösartige Aktivitäten in normale administrative Abläufe einzubinden. Der Bericht hob zudem taktische Überschneidungen mit zuvor UNC2465 zugeschriebenen Aktivitäten hervor.

Minderung

Verteidiger sollten die bekannten Malvertising-Domains blockieren, Anwendungs-Whitelisting für Tools wie RVTools und Remote Desktop Manager erzwingen und ungewöhnliche Nutzung legitimer administrativer Dienstprogramme überwachen. Der Schutz der Endpunkterkennung sollte auch verstärkt werden, um SmokedHam-Backdoor-Verhalten und damit verbundene Aktivitäten nach einem Einbruch zu identifizieren. Der Einsatz cloudbasierter Bedrohungsinformations-Feeds kann die Erkennungs- und Anreicherungsefforts weiter verbessern.

Reaktion

Falls verdächtige Aktivitäten identifiziert werden, isolieren Sie den betroffenen Host sofort, sammeln Sie forensische Artefakte und suchen Sie nach Indikatoren, die mit sowohl SmokedHam als auch Qilin verbunden sind. Ermittler sollten auch feststellen, ob bereits ein Diebstahl von Anmeldedaten oder eine Ransomware-Verschlüsselung stattgefunden hat. Eine umfassendere Bedrohungsjagd in der verbundenen Infrastruktur wird empfohlen, ebenso wie die Aktivierung der etablierten Reaktionsverfahren für Ransomware-Vorfälle.

graph TB classDef action fill:#99ccff classDef malware fill:#ff6666 classDef tool fill:#cccccc classDef service fill:#ffd966 classDef impact fill:#ff9999 action_initial[„Aktion – T1659 Inhaltsinjektion (Malvertising) Schädliches Installationsprogramm, getarnt als RVTools/Remote Desktop Manager“] class action_initial action action_user_exec[„Aktion – T1204 Benutzerausführung Opfer führt das getarnte Installationsprogramm aus“] class action_user_exec action malware_smokedham[„Malware – T1127 Vertrauenswürdige Entwickler-Tools Proxy-Ausführung Backdoor SmokedHam installiert“] class malware_smokedham malware action_embedded_payload[„Aktion – T1027.009 Eingebettete Nutzlasten SmokedHam-Nutzlast in legitimes Tool eingebettet und verschleiert“] class action_embedded_payload action action_polymorphic[„Aktion – T1027.014 Polymorpher Code Variante nutzt Packing und Code-Mutation“] class action_polymorphic action action_rat[„Aktion – T1219 Remote-Access-Tools SmokedHam etabliert C2 über legitime Tools“] class action_rat action tool_putty[„Tool – PuTTY SSH-Client für C2“] class tool_putty tool tool_kitty[„Tool – KiTTY SSH-Client-Variante“] class tool_kitty tool tool_zoho[„Tool – Zoho Assist Remote-Support-Tool für C2“] class tool_zoho tool action_c2_comm[„Aktion – T1102.001/002/003 Kommunikation C2 über Cloudflare Workers und AWS“] class action_c2_comm action service_cloudflare[„Dienst – Cloudflare Workers“] class service_cloudflare service service_aws[„Dienst – AWS“] class service_aws service action_tunnel[„Aktion – T1572 Protokolltunneling Verkehr über legitime Dienste getunnelt“] class action_tunnel action action_ssh_hijack[„Aktion – T1563.001 Remote-Service-Sitzungsübernahme (SSH) Übernahme durch gestohlene Zugangsdaten“] class action_ssh_hijack action action_rdp_hijack[„Aktion – T1563.002 Remote-Service-Sitzungsübernahme (RDP) Übernahme von RDP-Sitzungen“] class action_rdp_hijack action action_exploit_remote[„Aktion – T1210 Ausnutzung entfernter Dienste Laterale Bewegung zu internen Hosts“] class action_exploit_remote action action_input_capture[„Aktion – T1056.003 Eingabeerfassung Erfassung von Web-Portal-Zugangsdaten“] class action_input_capture action action_account_manip[„Aktion – T1098.004 Kontomanipulation SSH-Autorisierungsschlüssel für Persistenz hinzugefügt“] class action_account_manip action malware_qilin[„Malware – Qilin Ransomware Verschlüsselt Opferdaten“] class malware_qilin impact action_initial –>|leads_to| action_user_exec action_user_exec –>|leads_to| malware_smokedham malware_smokedham –>|leads_to| action_embedded_payload action_embedded_payload –>|leads_to| action_polymorphic action_polymorphic –>|leads_to| action_rat action_rat –>|uses| tool_putty action_rat –>|uses| tool_kitty action_rat –>|uses| tool_zoho action_rat –>|communicates via| action_c2_comm action_c2_comm –>|uses| service_cloudflare action_c2_comm –>|uses| service_aws action_c2_comm –>|enables| action_tunnel action_tunnel –>|enables| action_ssh_hijack action_ssh_hijack –>|enables| action_rdp_hijack action_rdp_hijack –>|enables| action_exploit_remote action_exploit_remote –>|enables| action_input_capture action_input_capture –>|enables| action_account_manip action_account_manip –>|enables| malware_qilin

Angriffsfluss

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten