Einen Affiliate enttarnen: SmokedHam, Qilin, ein paar Google-Anzeigen und etwas Bossware
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Orange Cyberdefense berichtete, dass Anfang 2026 ein Ransomware-Partner das SmokedHam-Backdoor über bösartige Anzeigen verbreitete, die als legitime Dienstprogramme getarnt waren. In mindestens einem bestätigten Einbruch wurde das Backdoor später genutzt, um die Qilin-Ransomware bereitzustellen. Forscher führten die Aktivitäten mit mittlerer Zuversicht auf den russischsprachigen Partner UNC2465 zurück, einen Bedrohungsakteur, der zuvor mit Operationen von DarkSide, LockBit und Hunters International in Verbindung gebracht wurde.
Untersuchung
Die Untersuchung überprüfte mehr als 30 SmokedHam-Proben, die im Jahr 2025 und 2026 gesammelt wurden, und identifizierte Malvertising-Domains, die auf Cloudflare Workers für Domain-Fronting in Verbindung mit AWS-gehosteter Infrastruktur angewiesen waren. Analysten dokumentierten auch den Missbrauch legitimer Tools wie PuTTY und Total Commander, um bösartige Aktivitäten in normale administrative Abläufe einzubinden. Der Bericht hob zudem taktische Überschneidungen mit zuvor UNC2465 zugeschriebenen Aktivitäten hervor.
Minderung
Verteidiger sollten die bekannten Malvertising-Domains blockieren, Anwendungs-Whitelisting für Tools wie RVTools und Remote Desktop Manager erzwingen und ungewöhnliche Nutzung legitimer administrativer Dienstprogramme überwachen. Der Schutz der Endpunkterkennung sollte auch verstärkt werden, um SmokedHam-Backdoor-Verhalten und damit verbundene Aktivitäten nach einem Einbruch zu identifizieren. Der Einsatz cloudbasierter Bedrohungsinformations-Feeds kann die Erkennungs- und Anreicherungsefforts weiter verbessern.
Reaktion
Falls verdächtige Aktivitäten identifiziert werden, isolieren Sie den betroffenen Host sofort, sammeln Sie forensische Artefakte und suchen Sie nach Indikatoren, die mit sowohl SmokedHam als auch Qilin verbunden sind. Ermittler sollten auch feststellen, ob bereits ein Diebstahl von Anmeldedaten oder eine Ransomware-Verschlüsselung stattgefunden hat. Eine umfassendere Bedrohungsjagd in der verbundenen Infrastruktur wird empfohlen, ebenso wie die Aktivierung der etablierten Reaktionsverfahren für Ransomware-Vorfälle.
Angriffsfluss
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Ansehen
Mögliche Datenkomprimierung für Infiltration oder Exfiltration (über cmdline)
Ansehen
Verdächtige GPG-Ausführung (über cmdline)
Ansehen
Verdächtige PowerShell-Zeichenfolgen (über PowerShell)
Ansehen
Rufen Sie verdächtige .NET-Methoden von PowerShell auf (über PowerShell)
Ansehen
Möglicher öffentlicher Ethereum-Missbrauchsversuch als C2-Kanal (über dns_query)
Ansehen
Mögliche Daten-Infiltration/Exfiltration/C2 über Drittanbieterdienste/-tools (über proxy)
Ansehen
Mögliche Daten-Infiltration/Exfiltration/C2 über Drittanbieterdienste/-tools (über dns)
Ansehen