GuLoader-Erkennung: Malware zielt über Phishing-E-Mails auf US-Finanzorganisationen ab
Mitten in der Steuersaison richten Bedrohungsakteure ihren Blick auf Finanzorganisationen. Laut den neuesten Cybersicherheitsberichten sind US-amerikanische Buchhaltungsfirmen und andere Finanzinstitute Opfer einer Reihe von Gegnerkampagnen geworden, die seit März 2022 GuLoader-Malware verbreiten. Bedrohungsakteure verbreiten die bösartigen GuLoader-Proben, indem sie einen Phishing-Angriffsvektor und eine steuerbezogene Köder einsetzen.
GuLoader-Angriffe erkennen
In Ausnutzung der Steuersaison versuchen Bedrohungsakteure, eine Kombination aus ausgeklügelten Angriffen und Social Engineering zu nutzen, um Opfer zu ködern und Zugang zu wertvollen Finanzdaten zu erhalten. Um kritische organisatorische Vermögenswerte zu sichern und mögliche Eindringlinge rechtzeitig zu identifizieren, benötigen Sicherheitspraktiker eine vertrauenswürdige Quelle für Erkennungsinhalte.
SOC Prime’s Detection as Code Platform bietet eine Reihe von Sigma-Regeln, um die neueste GuLoader-Modifikation zu erkennen, einen bösartigen Malware-Downloader, der Steuerköder verwendet, um Finanzinstitutionen in den USA anzugreifen:
Diese Regel, geschrieben von unserem aufmerksamen Threat Bounty-Entwickler Nattatorn Chuensangarun erkennt verdächtige GuLoader-Malware-Aktivitäten, indem sie den Run-Schlüssel der Registrierung durch Ausführung eines PowerShell-Befehls modifiziert, der den Eigenschaftswert abruft. Die Erkennung ist kompatibel mit 20 SIEM-, EDR- und XDR-Lösungen und stimmt mit dem the MITRE ATT&CK®-Rahmen überein und adressiert die Taktik der Umgehung von Verteidigungsmaßnahmen, mit Modigy Registry (T1112) als entsprechende Technik.
Die zweite Sigma-Regel, geschrieben von unserem produktiven Threat Bounty-Entwickler Onur Atali, erkennt verdächtige Befehle, die von GuLoader-Malware verwendet werden, um Malware-Funktionalität auszuführen. Der Erkennungsalgorithmus kann auf 16 branchenführende Sicherheitsanalyseplattformen angewendet werden und ist der ATT&CK-Methodik zugeordnet, wobei die Taktik der Ausführung und der Befehls- und Skriptinterpreter (T1059) Technik adressiert werden.
Sowohl angehende als auch erfahrene Cybersicherheitsfachleute sind eingeladen, dem SOC Prime Threat Bounty Program beizutreten, um Erkennungsinhalte mit Branchenkollegen zu schreiben und zu teilen, während sie die kollektive Intelligenz bereichern und ihre Inhaltsbeiträge monetarisieren.
Mit der raschen Entwicklung der GuLoader-Malware und ihren verbesserten Methoden zur Erkennungsevasion bemühen sich fortschrittliche Organisationen, ihre Verteidigungsfähigkeiten zu verstärken, um Infektionen rechtzeitig zu identifizieren. Klicken Sie auf die Explore Detections -Schaltfläche, um den gesamten Erkennungsstapel für GuLoader-Malware zu erreichen, zusammen mit MITRE ATT&CK-Referenzen, CTI-Links und weiteren relevanten Metadaten.
Die GuLoader-Loader-Malware, auch bekannt als CloudEyE, wurde in jüngsten Gegnerkampagnen beobachtet, die sich gegen den US-amerikanischen Finanzsektor richten. Bei diesen Angriffen wenden Bedrohungsakteure steuerbezogene Phishing-Köder an, um die Malware-Proben zu verbreiten.
GuLoader gilt als einer der ausgeklügeltsten Loader und nutzt eine Reihe von Anti-Analyse- und Erkennungsevasionstechniken. Der Loader ist auch in der Lage, andere bösartige Proben, wie Infostealer und RATs, zu liefern. Beispielsweise wurde GuLoader mit einer zunehmenden Anzahl von Phishing-Angriffen während der COVID-19-Pandemie eingesetzt, um den FormBook-Trojaner auf den kompromittierten Systemen bereitzustellen. Die neueste GuLoader-Iteration verwendet verschleierte VBS und PowerShell, um zusätzliche Malware-Proben wie Remcos RATabzulegen. Code-Injektion in einen legitimen Prozess erlaubt es Bedrohungsakteuren, Antiviren-Tools und andere Sicherheitsmaßnahmen zu umgehen, was eine Herausforderung für Cyber-Verteidiger darstellt.
Die Untersuchung durch eSentire’s Threat Response Unit wirft ein Licht auf die laufenden GuLoader-Malware-Kampagnen, die den Phishing-Angriffsvektor ausnutzen. Die Angriffe, die erstmals im frühen Frühjahr 2022 während einer Steuersaison beobachtet wurden, verwenden eine Phishing-E-Mail, um die Infektionskette zu starten. Die bösartige E-Mail enthält einen Köder-Link zu Adobe Acrobat, der es den anvisierten Benutzern ermöglicht, eine passwortgeschützte Datei herunterzuladen. Letztere kommt mit einem Lockbild und einer LNK-Datei, die als PDF-Dokument getarnt ist und dazu führen kann, dass zusätzliche Nutzlasten auf den kompromittierten Systemen mithilfe von PowerShell bereitgestellt werden.
Sobald installiert, erreicht GuLoader Persistenz durch die Nutzung von Registrierungsschlüsseln. Die erfolgreich installierte Malware gibt den Gegnern grünes Licht, das anvisierte System vollständig zu kompromittieren und weitere Malware-Kampagnen zu starten.
Angesichts der zunehmenden Anzahl von Phishing-Angriffen suchen Organisationen nach Möglichkeiten, das Bewusstsein für Cybersicherheit zu schärfen und sicherzustellen, dass die Systeme über aktuelle Antiviren-Software sowie andere Sicherheitsmaßnahmen verfügen. Erkunden Sie SOC Prime’s umfangreiche Wissensdatenbank, die in Bruchteilen von Sekunden durchsuchbar und aktualisiert ist, , um die vollständige Liste der Sigma-Regeln für die Erkennung von Phishing-Angriffen zu erkunden, wobei alle Erkennungen automatisch in über 27 SIEM-, EDR- und XDR-Lösungen konvertierbar und mit anwendbarem Cyber-Bedrohungskontext angereichert sind.
