Gegner verwenden bewaffnete PDFs als getarnte Köder von der deutschen Botschaft, um Duke-Malware-Variante in Angriffen gegen Außenministerien von NATO-verbundenen Ländern zu verbreiten
Inhaltsverzeichnis:
Cybersicherheitsforscher haben eine neue bösartige Kampagne beobachtet, die sich gegen Ministerien für auswärtige Angelegenheiten von NATO-verbundenen Ländern richtet. Gegner verteilen PDF-Dokumente, die als Köder dienen und den Absender als deutsche Botschaft ausgeben. Eine der PDF-Dateien enthält die dem berüchtigten, von Russland unterstützten, national gesponserten Hacking-Kollektiv APT29 alias NOBELIUM, Cozy Bear oder The Dukes zugeordnete Duke-Malware.
Erkennen von Angriffen mit präparierten PDFs zur Verbreitung einer Duke-Malware-Variante über DLL-Sideloading
Da APT29 eine geheime Hackerabteilung des russischen Auslandsgeheimdienstes (SVR) ist, die im Interesse der geopolitischen Interessen Moskaus agiert, könnte die neueste bösartige Kampagne, die auf NATO-Länder abzielt, ein Teil von Offensivaktionen gegen ukrainische Verbündete sein.
Durch die Zusammenarbeit mit CERT-UA und SSSCIP forscht, entwickelt und testet SOC Prime Sigma-Regeln auf dem realen Schlachtfeld und liefert monatlich Hunderte neue Erkennungsinhalte, um destruktive Angriffe Russlands zu verhindern. Zur Unterstützung von Cybersicherheitsverteidigern bei der Identifizierung des neuesten APT29-Cyberangriffs bietet die SOC Prime Plattform eine spezielle Sigma-Regel, die darauf abzielt, Versuche zu erkennen, eine legitim benannte MSO-Dynamikbibliothek zu sideloaden, um bösartige Aktivitäten durchzuführen.
Möglicher Versuch zum MSO Dynamic Library Side-Loading (via image_load)
Die Regel ist mit 20 SIEM-, EDR-, XDR- und Data Lake-Technologieformaten kompatibel und ist mit MITRE ATT&CK®abgebildet, was Verteidigungsausweichtaktiken und die Übernahme des Ausführungsablaufs (T1574) als entsprechende Technik adressiert.
Um sich in das gesamte Set von Erkennungsalgorithmen zu vertiefen, die die TTPs von APT29 adressieren, drücken Sie den Erkennungen erkunden Knopf unten. Für eine optimierte Bedrohungsuntersuchung können Teams auch relevante Metadaten einsehen, einschließlich ATT&CK- und CTI-Referenzen.
Angriffsanalyse mit präparierten PDFs durch HTML-Schmuggel und Verbreitung von Duke-Malware
Forscher von EclecticIQ haben eine laufende Offensivoperation gegen Ministerien für auswärtige Angelegenheiten von NATO-Ländern beobachtet, bei der Gegner bösartige PDF-Dateien mit Einladungs-Ködern ausnutzen, die sich als deutsche Botschaft ausgeben. Eine der präparierten PDF-Dateien enthält die Duke-Malware-Variante, die zuvor mit der berüchtigten, von Russland unterstützten staatlichen Gruppe APT29 verbunden war. APT29. Die Gruppe steht hinter einer Reihe von Cyber-Spionage-Angriffen und wird vom russischen Auslandsgeheimdienst unterstützt, während sie ein ausgeklügeltes Werkzeugset für ihre Angriffstätigkeiten nutzt.
In der laufenden Gegnervorstoßkampagne nutzen Bedrohungsakteure Zulip-Server für C2, wodurch sie legitimen Web-Traffic mischen und der Erkennung entgehen können. Basierend auf den Bedrohungsverhaltensmustern, Lock-Dateien, der angewendeten Malware und ihrem Lieferweg verknüpfen Forscher die beobachtete bösartige Kampagne mit der Aktivität von APT29.
Die Infektionskette wird durch das Ausführen der bösartigen PDF-Köderdateien mit eingebettetem JavaScript-Code ausgelöst, der darauf abzielt, Nutzlasten im HTML-Dateiformat auf die kompromittierten Geräte zu droppen. Mithilfe von HTML-Schmuggel liefern Angreifer ein Archiv mit einer bösartigen HTML-Anwendungsdatei (HTA), die als beliebtes LOLBIN gilt. Letztere soll die Duke-Malware-Probe auf den betroffenen Systemen droppen.
Das Starten der HTA-Datei führt dazu, dass drei ausführbare Dateien in das spezifische Verzeichnis innerhalb des kompromittierten Systems verbreitet werden. Eines dieser Dateien ist die über DLL-Sideloading ausgeführte Duke-Malware-Variante. Die Malware nutzt Windows-API-Hashing als Ausweichtechnik, die es Angreifern ermöglicht, statische Malwarescanner zu umgehen.
Als mögliche Gegenmaßnahmen empfehlen Verteidiger, geeignete Netzwerkschutzmechanismen zu konfigurieren, um verdächtigen Netzwerkverkehr zu blockieren, Whitelist-Richtlinien auf Windows-Hosts anzuwenden, um die Ausführung spezifischer LOLBINs zu verhindern, die von Angreifern ausgenutzt werden könnten, das Bewusstsein für Cybersicherheit zu erhöhen und kontinuierlich die besten Sicherheitspraktiken der Branche umzusetzen, um die Cyber-Resilienz zu stärken.
Verlassen Sie sich auf die Kraft der erweiterten Intelligenz und des kollektiven Branchenwissens mit Uncoder AI , um nahtlos Erkennungsalgorithmen gegen aufkommende Bedrohungen zu erstellen, sie sofort in 44 SIEM-, EDR-, XDR- und Data Lake-Formate zu konvertieren und Ihren Code mit Branchenkollegen zu teilen, um eine aktive, bedrohungsinformierte Verteidigung zu fördern.
