BlackCat alias ALPHV Angriffserkennung: Hacker missbrauchen Malvertising zur Verbreitung von Malware und nutzen SpyBoy Terminator, um Sicherheitsvorkehrungen zu behindern
Inhaltsverzeichnis:
Cybersicherheitsforscher haben Spuren neuer bösartiger Aktivitäten entdeckt, die der berüchtigten BlackCat alias ALPHV Ransomware-Gruppe zugeschrieben werden. Der gegnerische Angriff beinhaltet die Verbreitung von Malware über geklonte Webseiten legitimer Unternehmen, einschließlich der Webseite eines beliebten WinSCP-Dateiübertragungsdienstes. Es wurde beobachtet, dass BlackCat auch den SpyBoy Terminator für offensive Zwecke einsetzt, um Anti-Malware-Schutz zu behindern.
Erkennung von BlackCats Aktivität zur Verbreitung von Malware über geklonte Webseiten
Mit den BlackCat-Ransomware-Operatoren, die dem Werkzeug kontinuierlich neue bösartige Funktionen hinzufügen und nach effektiven Angriffsmethoden suchen, benötigen Cyberverteidiger eine zuverlässige Quelle für Erkennungsalgorithmen und Bedrohungsinformationen, um möglichen Eindringversuchen proaktiv zu begegnen. Um die mit der neuesten BlackCat (ALPHV)-Kampagne verbundenen bösartigen Aktivitäten zu erkennen, laden Sie einen Satz dedizierter Sigma-Regeln aus der SOC Prime Plattform herunter.
Alle Erkennungsalgorithmen sind mit 28 SIEM-, EDR- und XDR-Technologien kompatibel und an das MITRE ATT&CK-Framework v12 angepasst, um die Bedrohungsjagdverfahren zu optimieren.
Klicken Sie auf den Erkennung durchsuchen Button, um eine Reihe kuratierter Sigma-Regeln zur Erkennung von BlackCat-Ransomware-Angriffen zu durchsuchen. Alle Regeln enthalten umfangreiche Metadaten, einschließlich ATT&CK- und CTI-Referenzen. Um Sicherheitspraktikern bei der Suche nach Inhalten zu helfen, unterstützt SOC Prime die Filterung nach Tags “BlackCat,” “ALPHV,” “SpyBoy” basierend auf den Titeln der bei der Kampagne verwendeten Malware-Beispiele.
BlackCat nutzt Malvertising als Eintrittsvektor: Neue Angriffsanalyse
Die notorischen ALPHV BlackCat Ransomware-Partner haben seit Mitte November 2021 große Aufmerksamkeit im Bereich der Cyberbedrohung erlangt, da sie eine Vielzahl von Branchen weltweit ins Visier nehmen und mit mehreren TTPs und offensiven Werkzeugen experimentieren.
Trend Micro Forscher haben einen Bericht veröffentlicht, der die jüngsten Aktivitäten der BlackCat-Gruppe hervorhebt. In der neuesten Kampagne nutzen Malware-Distributoren eine Malvertising-Technik, um bösartige Strains über geklonte Webseiten der quelloffenen Windows-Anwendung WinSCP zu verbreiten. Diese Hacking-Technik beinhaltet das Verbreiten bösartiger Anzeigen, die kompromittierte Benutzer dazu verleiten, bestimmte Arten von Malware herunterzuladen.
Es wurde beobachtet, dass BlackCat-Hacker Anmeldeinformationen stehlen, um unbefugten Zugriff auf die Zielnetzwerke zu erlangen und auf den Backup-Server zuzugreifen. Sie nutzten auch die Remote-Access-Management-Utilities, um Persistenz im kompromittierten System aufzubauen und aufrechtzuerhalten und den SpyBot Terminator anzuwenden, um EDR- und Antivirus-Schutz zu umgehen.
Die Infektionskette wird durch das Suchen nach dem Keyword „WinSCP Download“ über die Bing Suchmaschine mit einer bösartigen Anzeige ausgelöst, die dem Zielbenutzer angezeigt wird und zur betrügerischen Website führt. Durch Klicken auf den Link wird der Benutzer auf eine geklonte Webseite des legitimen WinSCP-Dienstes umgeleitet. Durch Klicken zum Herunterladen einer ISO-Datei, die sich als legitimer Anwendungsinstaller tarnt, verbreitet sich letzterer weiter über zwei bösartige Dateien, setup.exe und eine verzögert geladene DLL-Datei.
BlackCat setzte auch eine Reihe weiterer Gegner-Tools ein, um die kompromittierte Umgebung zu erkunden, darunter AdFind, das zur Sammlung von Informationen aus Active Directory (AD)-Umgebungen, Privilegieneskalation und Anmeldeinformationsdiebstahl verwendet werden kann. Die Gruppe nutzte auch PowerShell-Befehle, um Benutzerdaten zu sammeln und in der CSV-Datei zu speichern. Zu den weiteren Tools gehörten eine Reihe von Befehlszeilenprogrammen, wie AccessChk64 und findstr, sowie PowerShell-Skripte. Um Administratoranmeldeinformationen und Privilegieneskalation zu erlangen, setzte BlackCat bösartige Python-Skripte ein, während solche Tools wie PsExec, BitsAdmin und curl verwendet wurden, um andere Tools herunterzuladen und sich lateral in der kompromittierten Umgebung zu bewegen.
Durch Ausnutzung eines bekannten Malvertising-Tricks verbreiten die Betreiber der BlackCat-Ransomware erfolgreich die Infektion über eine zwielichtige Website, die sich als WinSCP-Installationen tarnt. Verlassen Sie sich auf die SOC Prime Plattform um vollständig mit relevantem Erkennungsinhalt gegen jede genutzte TTP bei laufenden Cyber-Angriffen ausgestattet zu sein. Erreichen Sie die neuesten bereiten Verhaltensdetektionsalgorithmen und erkunden Sie relevanten Kontext zu jeder Cyber-Attacke oder Bedrohung, einschließlich Zero-Days, CTI- und ATT&CK-Referenzen sowie Red Team-Tooling. Validieren Sie den Erkennungsstapel, der durch ein automatisches schreibgeschütztes ATT&CK-Daten-Audit unterstützt wird, identifizieren Sie blinde Flecken und beheben Sie sie rechtzeitig, um vollständige Bedrohungssichtbarkeit auf Grundlage der organisationsspezifischen Protokolle zu gewährleisten. Vereinfachen Sie Ad-hoc-Aufgaben mit Sigma und ATT&CK Autovervollständigung, automatisieren Sie die plattformübergreifende Abfrageübersetzung und erkunden Sie relevanten Cyber-Bedrohungskontext aus ChatGPT und der globalen Community von Cyberverteidigern, um die SOC-Operationen um Sekunden zu verkürzen.
