Erkennung von DarkGate-Malware-Angriffen: Voice Phishing über Microsoft Teams führt zur Malware-Verbreitung
Inhaltsverzeichnis:
Forscher haben eine neue bösartige Kampagne aufgedeckt, bei der Voice-Phishing (Vishing) verwendet wird, um die DarkGate-Malware zu verbreiten. Bei diesem Angriff gaben sich die Gegner als bekannter Kunde in einem Microsoft Teams-Anruf aus, um die Opfer dazu zu bringen, AnyDesk für den Fernzugriff herunterzuladen und weitere Malware zu verbreiten.
DarkGate-Malware-Angriffe erkennen
Im Frühsommer 2024 wurde die Vishing-Technik bei Cyberangriffen verwendet, gefolgt von der Verbreitung von Angriffswerkzeugen, einschließlich Remote-Utilities. Im Dezember nutzten Bedrohungsakteure erneut die Täuschung durch Vishing, um die Infektion mit DarkGate-Malware zu erweitern. Die SOC Prime Plattform für kollektive Cyberverteidigung rüstet Sicherheitsteams mit modernsten Technologien und Lösungen aus, um Cyber-Bedrohungen zu übertreffen, unabhängig von deren Umfang und Komplexität.
Drücken Sie Entdeckungen erkunden um die vollständige Sammlung von Sigma-Regeln für die Erkennung von DarkGate-Malware zu vertiefen. Nutzen Sie umsetzbare CTI, MITRE ATT&CK-Ausrichtung und automatisierte Fähigkeiten, um Erkennungscode in das erforderliche Abfragesprachenformat umzuwandeln, das zu über 30 Sicherheitsanalytikplattformen passt.
DarkGate-Malware-Analyse: Vishing-Angriffe
Die Forscher von Trend Micro untersuchten einen Cybersicherheitsvorfall, bei dem Gegner Vishing durch einen Microsoft Teams-Anruf einsetzten, um sich als der Kunde des Nutzers auszugeben und remote auf das Zielsystem zuzugreifen. Angreifer lockten die potenziellen Opfer auch dazu, die AnyDesk-Fernsoftware herunterzuladen, die später ausgenutzt wurde, um die DarkGate-Malware zu verbreiten. Geliefert über ein AutoIt-Skript, ermöglichte DarkGate die Fernsteuerung des Systems, das Ausführen offensiver Befehle, das Sammeln von Systemdaten und das Verbinden mit einem C2-Server.
In der Anfangsphase des Angriffs nutzten Hacker Social Engineering, um Zugang zum System zu erlangen. Das Opfer erhielt zunächst Tausende von E-Mails, gefolgt von einem Microsoft Teams-Anruf von jemandem, der sich als externer Lieferant ausgab. Den Gegnern gelang es nicht, die Benutzer dazu zu bringen, eine Microsoft Remote Support-Anwendung zu installieren, gaben jedoch erfolgreich Anweisungen zum Herunterladen von AnyDesk über einen Browser und zum Eingeben ihrer Anmeldedaten.
Nach der Installation von AnyDesk konnten die Angreifer mit erhöhten Privilegien im kompromittierten System arbeiten und legten mehrere verdächtige Dateien ab, darunter die Trojan.AutoIt.DARKGATE.D-Nutzlast. Das verschlüsselte AutoIt-Nutzlast-Skript.a3x entschlüsselte sich selbst im Speicher als Shellcode und injizierte sich selbst in legitime Prozesse, wie MicrosoftEdgeUpdateCore.exe. Dieser Prozess diente als Proxy, um das DarkGate-A3x-Skript zu laden und auszuführen, das dann die Laden von weiteren bösartigen Proben für die nächsten Angriffsphasen erleichterte.
Gegner erstellten auch unauffällige Dateien und einen Registrierungseintrag auf dem Rechner des Opfers, um Persistenz zu etablieren und die Erkennung zu umgehen. Sie verwendeten auch DLL-Sideloading, um unter dem Radar zu bleiben. Trotz der offensiven Bemühungen wurde der Angriff beendet, bevor die Gegner ihre Ziele erreichen konnten, ohne Anzeichen einer Datenexfiltration.
Als empfohlene DarkGate-Malware-Abwehrmaßnahmen wird den Teams empfohlen, externe technische Support-Anbieter sorgfältig zu prüfen und alle Anbieterzugehörigkeiten zu überprüfen, bevor Remote-Zugriff auf Systeme gewährt wird, Cloud-Prüfprozesse einzurichten, um die Sicherheit und den Ruf von Remote-Zugriffstools zu bewerten, genehmigte Tools auf die weiße Liste zu setzen, verdächtige zu blockieren und MFA für zusätzliche Sicherheitsschichten zu implementieren.
Der mehrstufige DarkGate-Malware-Angriffsablauf unterstreicht die Bedeutung starker Sicherheitsmaßnahmen und erhöhter Cyber-Wachsamkeit gegenüber Social-Engineering-Angriffen. Um der zunehmenden Häufigkeit und Vielfalt bösartiger Kampagnen mittels Vishing und anderer gegnerischer Techniken zu begegnen, können Unternehmen sich auf das komplette Produktsuite von SOC Prime verlassen für KI-gestütztes Erkennungsengineering, automatisiertes Bedrohungsjagen und fortschrittliche Bedrohungserkennung und gleichzeitig erstklassige Cyber-Verteidigung sicherstellen.
