Formbook und Snake Keylogger Informations-Diebe massiv über E-Mail verteilt mithilfe von RelicRace und RelicSource Malware
Inhaltsverzeichnis:
Informationsdiebstahl-Angriffe, die den Phishing-E-Mail-Angriffsvektor gegen ukrainische Organisationen ausnutzen, nehmen derzeit zu, wie die bösartige Kampagne vor weniger als einer Woche verbreitet AgentTesla-Spyware und auf ukrainische Staatsorgane abzielen. Am 25. Juli 2022 veröffentlichte CERT-UA eine neue Vorwarnung und warnte die globale Cybersicherheitsgemeinschaft vor einer laufenden E-Mail-Kampagne zur massenhaften Verbreitung von Formbook- und Snake-Keylogger-bösartigen Nutzlasten, die zum Diebstahl sensibler Daten verwendet werden. In diesem neuesten Cyberangriff nutzen die Bedrohungsakteure die finanziell bezogenen E-Mail-Betreffs und den bösartigen Archivanhang mit demselben Namen als Köder, um die potenziellen Opfer dazu zu bringen, die E-Mail-Inhalte zu öffnen. Angreifer liefern Malware-Beispiele mithilfe der bösartigen .NET-basierten Downloader, die als RelicRace und RelicSource identifiziert wurden. Laut der Recherche kann die bösartige Aktivität den Verhaltensmustern des UAC-0041 Hackerkollektivs zugeschrieben werden.
Formbook & Snake Keylogger Lieferung: Cyber-Angriffsanalyse
Der jüngste Cyber-Angriff, der in der CERT-UA#5056-Warnung behandelt wird, ist mit der Aktivität der UAC-0041-Bedrohungsakteure verbunden, die zuvor der bösartigen Kampagne im Frühjahr 2022 zugeschrieben wurde, die den IcedID Trojanerverbreitete, die berüchtigte informationsstehlende Malware. Bemerkenswerterweise wurde die gleiche Hackergruppe auch mit der Lieferung von AgentTesla und XLoader-Malware-Beispielen in den vorherigen bösartigen Kampagnen in Verbindung gebracht, die auf ukrainische Organisationen abzielten.
In der laufenden Phishing-Kampagne, die seit dem 19. Juli 2022 im Rampenlicht steht, verteilen Bedrohungsakteure massiv E-Mails mit bösartigen Anhängen im TGZ-komprimierten Archivdateiformat. Dieses TGZ-Archiv enthält eine ausführbare Datei, die als .NET-basierter Downloader RelicRace identifiziert wurde und dazu verwendet wird, die berüchtigte RelicSource-Malware auf den kompromittierten Systemen herunterzuladen und zu starten. Letzterer ist die Malware-Installationssoftware, die in der Lage ist, in mehreren Verschlüsselungsformaten gespeicherte Daten zu dekodieren, einschließlich XOR, DES, AES usw., und die Formbook- und Snake-Keylogger-Nutzlasten weiter zu injizieren und zu starten. Die Malware wendet ausgeklügelte Persistenz- und Anti-Analyse-Techniken an, um der Erkennung zu entgehen und es den Cyberverteidigern zu erschweren, die Infektion rechtzeitig zu identifizieren.
Laut Fortinet’s FortiGuard Labswird der berüchtigte Snake Keylogger massenhaft in dem laufenden Cyberangriff gegen die Ukraine verteilt und ist eine .NET-basierte Malware, die erstmals in der Cyberbedrohungsarena Ende 2020 entdeckt wurde. Die Malware ist darauf ausgelegt, sensible Daten, wie z.B. Benutzeranmeldedaten, Tastenanschläge, Screenshots und Zwischenablagedaten zu stehlen. Im Juli 2021 gehörte der Snake Keylogger zu den Top 10 der beliebtesten Malware-Familien, die mehr kompromittierte Benutzer weltweit betrafen.
Eine weitere Nutzlast, die in diesem neuesten Cyberangriff verbreitet wird und in der CERT-UA-Forschung Formbook genannt wird, gehört ebenfalls zu den am häufigsten vorkommenden informationsstehlenden Malware-Beispielen und übertrifft sogar den berüchtigten Trickbot Banking-Trojaner. Formbook ist seit 2016 in der Cyber-Bedrohungslandschaft präsent und ist als Malware darauf ausgerichtet, Anmeldedaten aus mehreren Webbrowsern zu stehlen, Tastenanschläge zu überwachen und zu protokollieren, Dateien über den C&C-Server herunterzuladen und auszuführen.
Erkennung der UAC-0041-Aktivität: Sigma-Regeln zur Erkennung der neuesten Welle von Formbook- und Snake-Keylogger-Infektionen
Um Sicherheitsexperten zu helfen, Eindringlinge im Zusammenhang mit den neuesten UAC-0041-Angriffen gegen die Ukraine proaktiv zu erkennen, bietet SOC Primes Detection as Code Plattform eine Reihe kuratierter Sigma-Regeln. Für eine optimierte Inhaltssuche sind alle Erkennungsinhalte mit „CERT-UA#5056“ basierend auf dem Überblick über die in der CERT-UA#5056-Warnung dargestellte Kampagne gekennzeichnet.
Sigma-Regeln zur Erkennung von Formbook- und Snake-Keylogger-Kampagnendetails in CERT-UA#5056
Um die gesamte Liste der Erkennungsregeln und Jagdabfragen zu überprüfen, die die UAC-0041-bösartige Aktivität abdecken, klicken Sie auf die Detect & Hunt Schaltfläche unten. Sie können auch die Cyber-Bedrohungssuchmaschine von SOC Prime durchsuchen, um die Sigma-Regeln zur Erkennung von UAC-0041 aufzuschlüsseln und umfassende kontextuelle Metadaten wie MITRE ATT&CK® und CTI-Referenzen, CVE-Beschreibungen und mehr zuzugreifen.
Detect & Hunt Bedrohungskontext erkunden
MITRE ATT&CK® Kontext
Um Einblicke in den Kontext der UAC-0041-Cyberangriffe zu erhalten, die auf die Verbreitung von Formbook und Snake Keylogger abzielen, sind die oben genannten Sigma-Regeln mit dem MITRE ATT&CK®-Rahmenwerk abgestimmt, das die entsprechenden Taktiken und Techniken adressiert:
Tactics | Techniques | Sigma Rule |
Initial Access | Phishing (T1566) |
