TerraStealerV2 und TerraLogger-Erkennung: Bedrohungsakteur Golden Chickens Hinter Neuen Malware-Familien
Inhaltsverzeichnis:
Die finanziell motivierte Golden Chickens Gruppe, bekannt für den Betrieb unter einem MaaS Modell, wurde mit zwei neu identifizierten bösartigen Stämmen in Verbindung gebracht, TerraStealerV2 und TerraLogger, was auf die laufenden Bemühungen der Gruppe hinweist, ihr offensives Werkzeugset zu verbessern und zu erweitern. TerraStealerV2 sammelt Browser-Anmeldedaten, Krypto-Wallet-Daten und Details von Browser-Erweiterungen, während TerraLogger als eigenständiger Keylogger fungiert, Tastatureingaben erfasst und die Protokolle lokal speichert.
Erkennen Sie Angriffe der Golden Chickens mit TerraStealerV2- und TerraLogger-Malware
Der Bericht des Global Economic Forums hebt hervor, dass im Jahr 2025 etwa 72 % der Organisationen im vergangenen Jahr einen signifikanten Anstieg der Cyber-Risiken verzeichneten und 63 % die komplexe und sich entwickelnde Bedrohungslandschaft als größte Herausforderung auf dem Weg zur Cyber-Resilienz angaben. Cyberkriminelle werden immer innovativer, indem sie Automatisierung, KI-generierte Angriffe, Zero-Day-Exploits und ausgeklügelte Taktiken nutzen, um selbst die am besten gesicherten Verteidigungen zu überwinden.
Registrieren Sie sich für die SOC Prime Plattform um die sich entwickelnden Bedrohungen wie TerraStealerV2 und TerraLogger von Golden Chickens zu überwinden. Greifen Sie auf eine Reihe relevanter Sigma-Regeln zu, die die Taktiken, Techniken und Verfahren der Angreifer abdecken, unterstützt von einer vollständigen Produktsuite für KI-gesteuerte Erkennungsentwicklung, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung. Drücken Sie einfach den Detect Button und sofort auf einen kuratierten Erkennungs-Stack einsteigen.
Alle Regeln sind mit mehreren SIEM-, EDR- und Data-Lake-Technologien kompatibel und auf MITRE ATT&CK® abgebildet, um die Bedrohungsanalyse zu optimieren. Darüber hinaus ist jede Regel mit umfangreichen Metadaten angereichert, einschließlich CTI Referenzen, Angriffstimeline, Audit-Konfigurationen, Triaging-Empfehlungen und mehr.
Cyberverteidiger können im Threat Detection Marketplace nach „TerraStealerV2“ und „TerraLogger“ Tags suchen, um die Erkennungsinhalte zu verfolgen.
Darüber hinaus können Sicherheitsexperten Uncoder AI nutzen – eine private IDE & Co-Pilot für angriffsinformierte Erkennungsentwicklung – jetzt vollständig kostenlos und ohne Beschränkungen auf AI-Funktionen verfügbar. Erstellen Sie Erkennungsalgorithmen aus Rohbedrohungsberichten, ermöglichen Sie schnelle IOC-Analysen in leistungsoptimierten Abfragen, sagen Sie ATT&CK-Tags voraus, optimieren Sie Abfragecodes mit AI-Tipps, übersetzen Sie sie in 48 SIEM-, EDR- und Data-Lake-Sprachen und mehr.
Analyse der neuesten Aktivitäten von Golden Chickens
Forscher der Insikt Group von Recorded Future haben ein paar neuartige bösartige Proben entdeckt, die mit der Golden Chickens-Gruppe (auch bekannt als Venom Spider) in Verbindung stehen. Bekannt für den Betrieb einer MaaS-Plattform, die von Bedrohungsakteuren wie FIN6, Cobalt Groupund Evilnumgenutzt wird, scheint Golden Chickens aktiv sein Werkzeugset zu erweitern, um Anmeldeinformationen und Keylogging-Aktivitäten zu unterstützen.
TerraStealerV2 kann Browser-Anmeldedaten sammeln und Kryptowährungs-Wallets und Erweiterungsdaten anvisieren. Die Malware wurde in verschiedenen Formaten beobachtet, wie LNK, MSI, DLL und EXE, und verwendet legitime Windows-Tools wie regsvr32.exe und mshta.exe, um eine Erkennung zu vermeiden. Obwohl es versucht, auf die „Login Data“-Datenbank von Chrome zuzugreifen, kann es die ABE-Schutzmaßnahmen nach Juli 2024 nicht umgehen, was darauf hindeutet, dass es sich noch in der Entwicklung befindet oder veraltet ist.
Ein weiterer neu beobachteter bösartiger Stamm, TerraLogger, fungiert als einfacher Keylogger, der einen standardmäßigen Low-Level-Tastaturanschluss verwendet, um Tastenanschläge aufzuzeichnen und die Protokolle lokal zu speichern. Es fehlen Datenexfiltration und C2-Funktionen, was darauf hindeutet, dass es entweder ein Werkzeug in einem frühen Stadium ist oder modular innerhalb des MaaS-Frameworks von Golden Chickens entworfen wurde.
Seit mindestens 2018 wird das MaaS-Angebot von Golden Chickens in Angriffen auf hochkarätige Organisationen verwendet, hauptsächlich durch Social-Engineering-Taktiken, wie Spearphishing-E-Mails, die als Jobangebote oder Lebensläufe auftreten. Die Hauptkomponenten des Angebots sind VenomLNK und TerraLoader. Infektionen beginnen typischerweise mit VenomLNK, einer bösartigen Windows-Verknüpfung, die TerraLoader startet, das dann zusätzliche Payloads von Golden Chickens liefert. Dazu gehören TerraStealer für den Diebstahl von Anmeldeinformationen, TerraTV für die Entführung von TeamViewer-Sitzungen und TerraCrypt für den Einsatz von Ransomware. Andere zugehörige Werkzeuge im MaaS-Ökosystem von Golden Chickens umfassen TerraRecon für Systemerkennung, TerraWiper für Datenvernichtung und lite_more_eggs. Ende 2024 war Golden Chickens verantwortlich für die Bereitstellung des RevC2-Backdoor und des Venom-Loaders, die beide über VenomLNK geliefert wurden.
TerraStealerV2 und TerraLogger scheinen sich noch in der aktiven Entwicklung zu befinden und es fehlen ihnen die raffinierten Tarnungsfunktionen, die üblicherweise in einem weiter entwickelten Toolkit von Golden Chickens zu finden sind. Angesichts der nachgewiesenen Expertise der Gruppe im Aufbau von Tools für den Diebstahl von Anmeldeinformationen und den Zugriff wird erwartet, dass sich diese Funktionen weiterentwickeln. Um die Risiken von Angriffen der Golden Chickens zu minimieren, sollten Organisationen proaktive Cybersecurity-Strategien implementieren, um solch sich kontinuierlich entwickelnden Bedrohungen rechtzeitig entgegenzuwirken. SOC Prime Plattform stattet Sicherheitsteams mit einer vollständigen Produktsuite für kollektive Cyberverteidigung aus, unterstützt durch KI, Automatisierung und Echtzeitinformationen, um globalen Organisationen zu helfen, ihre Cybersecurity-Einstellungen risikooptimiert zu gestalten.