DarkGate Malware-Erkennung: Angreifer nutzen Microsoft Excel-Dateien zur Verbreitung eines schädlichen Software-Pakets
Inhaltsverzeichnis:
Verteidiger haben eine DarkGate-Malware-Kampagne beobachtet, bei der Gegner Microsoft Excel-Dateien genutzt haben, um bösartige Proben über öffentlich zugängliche SMB-Dateifreigaben zu verbreiten. DarkGate stellt einen hoch anpassungsfähigen bösartigen Stamm dar, der potenziell die Lücke füllen könnte, die durch die Zerschlagung des berüchtigten QakBot Ende Sommer 2023 hinterlassen wurde.
Erkennen der DarkGate-Malware
Cyberangriffe nahmen weltweit im Jahr 2024 zu, wobei Organisationen durchschnittlich 1.308 Angriffe wöchentlich im Q1erlebten. Dies bedeutet einen Anstieg von 28 % gegenüber Q4 2023 und eine Zunahme von 5 % im Vergleich zum gleichen Zeitraum des Vorjahres. Mit der ständig wachsenden Angriffsfläche und der kontinuierlichen Verfeinerung der Infektionsmethoden wird die proaktive Erkennung möglicher Eindringversuche eine anspruchsvolle Aufgabe.
Um mit den aktuellen Bedrohungen Schritt zu halten und Angriffe in ihren frühesten Entwicklungsstadien zu erkennen, könnten sich Sicherheitsfachleute auf die vollständige Produktreihe von SOC Prime für KI-gesteuertes Detection Engineering, automatisierte Bedrohungsjagd und Überprüfung des Detection Stack verlassen.
Drücken Sie die Erkennen erkunden -Taste unten, um auf den kuratierten Detection Stack zuzugreifen, der auf die Erkennung der DarkGate-Malware abzielt. Alle Regeln sind mit über 30 SIEM-, EDR- und Data Lake-Technologien kompatibel und in das MITRE ATT&CK®-Frameworkeingebunden. Darüber hinaus sind die Erkennungen mit umfangreichen Metadaten angereichert, einschließlich CTI-Referenzen, Angriffszeitplänen, Triage-Empfehlungen und anderen relevanten Details zur Optimierung der Bedrohungssuche.
Analyse der DarkGate-Malware
DarkGate ist eine Malware-Familie, die 2018 in der Cybersicherheitslandschaft auftauchte. Ursprünglich operierte die Malware mit einer fortschrittlichen C2-Infrastruktur und entwickelte sich weiter zu einem Malware-as-a-Service (MaaS)-Angebot.
DarkGate blieb bis 2021 im Verborgenen. Forscher von Palo Alto Networks Unit 42 beobachteten einen deutlichen Anstieg der DarkGate-Aktivitäten ab dem frühen Herbst 2023, kurz nach der multinationalen Regierungsstörung und dem Abbau der QakBot Infrastruktur. Die DarkGate-Kampagnen weiteten sich von AutoIt auf AutoHotkey-Skripte aus, um Malware zu verbeiten. Zum Jahreswechsel 2024 brachte DarkGate seine sechste Hauptversion mit noch ausgefeilteren Fähigkeiten auf den Markt.
Seit August 2023 beobachten Verteidiger eine Reihe bösartiger Kampagnen, die DarkGate-Malware über verschiedene Methoden verbreiten, darunter das Hereinlegen von Opfern, den DarkGate-Installer über Teams-Links herunterzuladen, das Ausnutzen bewaffneter E-Mail- und PDF-Anhänge mit Links zu schädlichen ZIP-Archiven, die Verwendung von DLL-Sideloading, das Ausnutzen von HTML-Dateien und das Einsetzen schädlicher Anzeigen, die zur Verbreitung von Malware gedacht sind.
Im Frühjahr 2024 beobachtete das Unit 42-Team eine neue offensivere Kampagne , die Microsoft Excel verwendet und Server mit offenen Samba-Dateifreigaben nutzt, um Dateien zu hosten, die zur Verbreitung der DarkGate-Malware verwendet werden. Ursprünglich auf die USA ausgerichtet, wurde die Kampagne schrittweise auf Europa und Teile Asiens ausgeweitet. Die Infektionskette beginnt mit dem Klicken auf ein verlinktes Objekt für die Schaltfläche Öffnen in der Excel-Datei, das Inhalte von einer in einem Archiv gefundenen URL abruft und ausführt. Diese URL führt zu einer öffentlich zugänglichen Samba/SMB-Freigabe, die eine VBS-Datei hostet. Im Verlauf des Angriffs begannen die Angreifer zudem mit der Verteilung von JS-Dateien über die bewaffneten Samba-Freigaben.
Bemerkenswert ist, dass die während des Infektionsflusses verwendeten PowerShell-Skripte einen Erkennungvermeidungstechnikkversuch unternehmen, um den Angreifern das Verbleiben im Verborgenen zu ermöglichen. Die DarkGate-Malware überprüft auch CPU-Daten und scannt nach anderen Anti-Malware-Programmen auf dem Zielsystem. Sie ist in der Lage, Erkennungsmechanismen zu behindern und Anti-Malware-Software zu deaktivieren. Während DarkGate seine Fähigkeiten ausbaut, enthält das neueste Update eine Reihe neuer Prüfungen zum Umgehen von Anti-Malware-Software wie Windows Defender und SentinelOne.
Die vielfältigen Angriffspunkte von DarkGate, seine Entwicklung zu einem umfassenden MaaS, die kontinuierliche Weiterentwicklung seines offensiven Toolkits und steigende Bemühungen, moderne Sicherheitsprotokolle zu umgehen, unterstreichen die Notwendigkeit, proaktive Abwehrmaßnahmen zu stärken, um Infektionen zuvorzukommen. Vertrauen Sie auf die Plattform von SOC Prime für kollektive Cyberverteidigung basierend auf globaler Bedrohungsaufklärung, Crowdsourcing, Zero-Trust und KI, um rechtzeitig Eindringversuche zu identifizieren und Cyberangriffe in ihren frühesten Stadien zu vereiteln.
