WikiLoader-Angriffe erkennen: Gegner nutzen gefälschte GlobalProtect-VPN-Software zur Bereitstellung einer neuen Malware-Variante über SEO-Poisoning
Inhaltsverzeichnis:
Die neuesten Statistiken zeigen, dass im Jahr 2023 Gegner durchschnittlich 200.454 einzigartige Malware-Skripte pro Tag einsetzten, was etwa 1,5 neuen Mustern pro Minute entspricht. Um erfolgreiche Malware-Angriffe durchzuführen, jonglieren Bedrohungsakteure mit verschiedenen bösartigen Methoden, um Sicherheitsvorkehrungen zu überwinden. Die neueste bösartige Kampagne im Rampenlicht imitiert legitime GlobalProtect VPN-Software von Palo Alto Networks, um WikiLoader (auch bekannt als WailingCrab) durch SEO-Vergiftung bereitzustellen.
WikiLoader Malware-Angriffe Erkennung
WikiLoader ist eine anspruchsvolle bösartige Bedrohung, die speziell entwickelt wurde, um den Sicherheitslösungen zu entgehen. Um potenzielle Angriffe schon in den frühesten Stadien zu identifizieren und proaktiv Netzwerke von Organisationen zu verteidigen, benötigen Sicherheitsexperten kuratierte Erkennungsalgorithmen, die von fortschrittlichen Lösungen zur Bedrohungserkennung und -jagd begleitet werden.
SOC Prime Plattform für kollektive Cyberabwehr aggregiert eine Reihe von speziellen Sigma-Regeln, die Cyberverteidigern ermöglichen, WikiLoader-Infektionen rechtzeitig zu erkennen. Drücken Sie einfach den Erkennungen erkunden Knopf unten und greifen Sie sofort auf einen relevanten Erkennungsstapel zu.
Alle Regeln sind mit über 30 SIEM-, EDR- und Data-Lake-Lösungen kompatibel und dem MITRE ATT&CK®-Rahmenwerkzugeordnet. Zusätzlich sind die Erkennungen mit umfangreichen Metadaten angereichert, einschließlich Bedrohungsinformationen Referenzen, Angriffszeitplänen und Triagetipps, die helfen, Bedrohungsuntersuchungen zu erleichtern.
Analyse des WikiLoader-Backdoors
Die Unit 42 Forscher haben eine neue Variante des WikiLoaders entdeckt, die durch SEO-Vergiftung als Zugangspunkt und eine gefälschte Version der GlobalProtect VPN-Software von Palo Alto Networks verbreitet wird. Die neueste Kampagne, die erstmals im Frühsommer 2024 beobachtet wurde, zielt hauptsächlich auf die Hochschul- und Transportbranche in den USA und Organisationen in Italien ab.
WikiLoader (auch bekannt als WailingCrab) ist ein mehrstufiger bösartiger Loader, der erstmals 2022 identifiziert wurde. Die Hacking-Gruppen TA544 und TA551, die beide italienische Organisationen ins Visier nehmen, wurden hinter früheren WikiLoader-Kampagnen beobachtet. Angreifer setzten häufig auf einen Phishing-Angriffsvektor mit E-Mails, die Anhänge im Microsoft Excel-, Microsoft OneNote- oder PDF-Format enthielten. In den bemerkenswertesten gegnerischen Kampagnen lieferte WikiLoader Ursnif als zweite bösartige Nutzlast.
WikiLoader wird von Zugangsanbieter auf Untergrundmärkten verkauft, wobei Phishing und kompromittierte WordPress-Seiten seine üblichen Verbreitungsmethoden sind. Die neueste Kampagne hat jedoch von Phishing auf SEO-Vergiftung umgestellt, um manipulierte Seiten an die Spitze der Suchmaschinenergebnisse zu bringen und ein gefälschtes VPN zu bewerben. Laut Verteidigern erweitert diese Methode den Pool potenzieller Opfer erheblich im Vergleich zu herkömmlichem Phishing.
WikiLoader verfügt über ausgeklügelte Verschleierungstechniken und maßgeschneiderte Elementen, die auf die Erschwerung der Malware-Erkennung und -Analyse abzielen. Zu den spezifischen Verteidigungsevasionstechniken von WikiLoader, die in der neuesten Kampagne beobachtet wurden, gehören das Anzeigen einer gefälschten Fehlermeldung bei der Malware-Ausführung, das Umbenennen legitimer Software und das Verstecken im gefälschten GlobalProtect-Installer, um den Backdoor per Side-Loading auszuführen, sowie mehrere Anti-Malware-Analysechecks.
Proofpoint-Forscher haben zuvor mindestens drei verschiedene WikiLoader-Iterationen beobachtet, was die kontinuierliche Weiterentwicklung der Malware zeigt. Die erste Version enthielt eine grundlegende Syscall-Struktur, minimale Verschleierung, keine String-Codierung und die manuelle Erstellung gefälschter Domains, während die zweite Iteration eine erhöhte Syscall-Komplexität einführte, zusätzliche Busy Loops implementierte und auf String-Codierung und Artefaktlöschung setzte. Die dritte WikiLoader-Iteration umfasst eine neue indirekte Syscall-Technik, das Abrufen von Dateien über MQTT, die Exfiltration von Cookies und eine komplexere Shellcode-Ausführung.
Verteidiger erwarten, dass finanziell motivierte Hacking-Gruppen WikiLoader aufgrund seiner starken operationellen Sicherheit weiterhin als vielseitigen, verdeckten Windows-Loader in verschiedenen Kampagnen einsetzen werden. Um Organisationen zu helfen, sich einen Wettbewerbsvorteil über zunehmende offensive Fähigkeiten zu verschaffen, stattet SOC Prime Sicherheitsteams mit einem vollständigen Produktsuite für KI-gestütztes Erkennungs-Engineering, automatisierte Bedrohungsjagd und fortgeschrittene Bedrohungserkennung aus, um eine robuste Cybersicherheitslage aufzubauen.
