FoxBlade Trojaner-Erkennung: Microsoft deckt neue zerstörerische Malware auf, die ukrainische Infrastruktur ins Visier nimmt
Inhaltsverzeichnis:
Am 23. Februar 2022, vor der offensiven Invasion Russlands in die Ukraine, traf eine neue Welle digitaler Bedrohungen die Ukraine, nur kurz nach einer Lawine von Cyberangriffen, die Datenlöschung beinhalteten WhisperGate and HermeticWiper Malware-Stämme zielten auf ukrainische Einrichtungen ab. Das Microsoft Security Intelligence Center entdeckte eine Reihe von Angriffen, die eine neuartige FoxBlade-Malware nutzten, um mehrere Branchen wie Finanzen, Landwirtschaft, Notfalldienste, den Energiesektor und eine Vielzahl von Unternehmen anzugreifen — die darauf abzielten, die zivile und IT-Infrastruktur des Landes vollständig zu destabilisieren. Cyber-Bemühungen zielten darauf ab, eine Vielzahl sensibler Daten und staatlicher Datensätze zu stehlen.
FoxBlade Malware-Erkennung und -Bekämpfung
Um die verdächtigen Aktivitäten im Zusammenhang mit der FoxBlade-Malware zu erkennen, können Sie ein paar Sigma-Regeln herunterladen, die von unserem Threat-Bounty-Entwickler Osman Demirerstellt wurden. Beide Regeln sind auf der Detection-as-Code-Plattform von SOC Prime verfügbar. Neue und bestehende Benutzer können auf die Erkennungsinhalte zugreifen, indem sie sich für die Plattform anmelden oder ihr bestehendes Konto verwenden:
FoxBlade-Malware, die auf die Ukraine abzielt (über process_creation)
Diese Erkennung wurde für die folgenden SIEM-, EDR- und XDR-Plattformen übersetzt: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
Neue FoxBlade-Malware, die auf die Ukraine abzielt (über registry_event)
Diese auf Sigma basierende Erkennung wurde für die folgenden SIEM-, EDR- und XDR-Plattformen übersetzt: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.
Beide Regeln sind mit dem neuesten MITRE ATT&CK®-Framework v.10 abgestimmt, das die Techniken Beeinträchtigung der Verteidigung (T1562) und Umgehung von Abwehrmaßnahmen (TA0005) sowie die Untertechnik Deaktivieren oder Modifizieren von Tools (T1562.001) adressiert.
Sie können auch kostenlose Microsoft-Software verwenden, um sich proaktiv gegen FoxBlade-Angriffe zu verteidigen und Risiken in Ihrer Infrastruktur zu minimieren:
- Windows Defender oder Microsoft Security Essentials für Windows 7 und Windows Vista
- Microsoft Safety Scanner
Sicherheitsexperten wird außerdem empfohlen, einen vollständigen Scan durchzuführen, um die bösartigen Verhaltensmuster im Zusammenhang mit der FoxBlade-Malware und anderen versteckten Bedrohungen zu erkennen.
SOC Prime-Benutzer können kostenlosen Zugang zum gesamten Erkennungs-Stack erhalten, um russische Cyber-Bedrohungen zu identifizieren. Melden Sie sich einfach an oder loggen Sie sich in Ihr aktuelles SOC Prime-Konto ein, wählen Sie Quick Hunt und durchsuchen Sie Ihre Umgebung nach verwandten Bedrohungen:
FoxBlade-Analyse
Erste Details zu den FoxBlade-Trojanerangriffen wurden geteilt vom Microsoft Threat Intelligence Center (MSTIC) am 23. Februar 2022.
Eine Malware namens FoxBlade ist ein leichter Trojaner und ein Datenvernichter, der hauptsächlich auf zivile digitale Dienste in der Ukraine abzielte. Sein Algorithmus zur Datenzerstörung zielt darauf ab, Anmeldeinformationen und persönliche Daten zu stehlen. Die Angreifer nutzten hauptsächlich eine bekannte Schwachstelle in Microsoft SQL Server aus (CVE-2021-1636), sodass alle Maschinen mit ungepatchten Versionen der letzteren kompromittiert werden konnten.
Laut Microsoft setzt FoxBlade das Gerät des Opfers auch DDoS-Angriffen aus, ohne dass der Besitzer es weiß. Während die anfänglichen Zugriffswege vielfältig waren, weisen Forscher darauf hin, dass der Wiper zumindest einmal über die Standard-Domain-Richtlinie eingeschleust wurde, was bedeutet, dass er wahrscheinlich Zugriff auf den Active Directory-Server des infizierten Computers hatte.
Eine weitere Analyse sieht wie folgt aus:
- Die Malware nutzt einen Tomcat-Exploit, der einen PowerShell-Befehl ausführt.
- Der Wiper-Loader ist eine .exe-Datei, die von einem Zertifikat signiert ist, das an Hermetica Digital Ltd. ausgestellt wurde.
- Diese Datei enthält 32-Bit- und 64-Bit-Treiberdateien, die mit dem Lempel-Ziv-Algorithmus komprimiert sind.
- Die Treiberdateien werden dann mit einem Zertifikat signiert, das an eine legitime EaseUS Partition Master-Software ausgestellt wurde. Treibernamen werden unter Verwendung der Prozess-ID der Wiper erstellt.
- Zuletzt startet der Wiper das Gerät des Opfers neu, beschädigt den Master Boot Record (MBR) und macht es unbrauchbar.
Treten Sie bei SOC Primes Detection as Code-Plattform bei, um Ihre Fähigkeit zur Bedrohungserkennung mit der Kraft einer globalen Gemeinschaft von Cybersicherheitsexperten zu erweitern. Sie können die kollaborative Expertise auch bereichern, indem Sie einen Beitrag zu SOC Primes Crowdsourcing-Initiativeleisten. Schreiben und übermitteln Sie Ihre Sigma-Regeln, lassen Sie sie auf einer Plattform veröffentlichen und erhalten Sie wiederkehrende Belohnungen für Ihren Beitrag.
