Neueste Zloader-Kampagne missbraucht Microsoft-Signaturüberprüfung
Inhaltsverzeichnis:
Zloader (auch bekannt als Terdot und DELoader) tobt weltweit und umgeht die Verteidigungssysteme von Banken. Nicht das, was man unter seinem Weihnachtsbaum erwartet, besonders wenn es von der katastrophalen Log4j-Schwachstellebegleitet wird, aber dies sind verrückte Zeiten, in denen wir leben. Laut den Forschern nehmen die Zloader-Angriffsabläufe an Umfang und Raffinesse zu, wobei sie diversifizierte Techniken und Umgehungsmethoden annehmen. In den letzten Jahren haben Angreifer unterschiedliche Ansätze und Exploits verwendet, um Zloader-Malware abzulegen.
Zloader-Cyber-Angriffe
Zloader, eine Banking-Malware, die zum Stehlen von Login-Daten und privaten Informationen der Benutzer entwickelt wurde, ist mit einer neuen Infektionskette zurückgekehrt. Diese Malware gibt es schon seit einiger Zeit und stammt aus der ZeuS-Malware-Familie, die seit 2006 bekannt ist. Zloader selbst tauchte erstmals 2015 auf und ermöglichte es den Angreifern, Kontodaten sowie andere Arten von sensiblen Daten zu stehlen. Als der berüchtigtste bekannte Banking-Trojaner gewinnt die Malware an Schwung: Seit einem Leck des ZeuS-Codes im Jahr 2011 wurden zahlreiche Zloader-Varianten bereits von Angreifern implementiert. Angesichts der Wirksamkeit des Tools ist es sicher anzunehmen, dass viele weitere in Entwicklung sind.
Es wird viel diskutiert, dass diese spezielle Cyber-Kill-Kette, die Microsoft e-Signatur ausnutzt, bereits im November 2021 von der Cyber-Gang MalSmoke gestartet wurde. Die brandneue Zloader-Banking-Malware-Kampagne missbraucht die digitale Signaturüberprüfung von Microsoft, um Code in eine signierte System-DLL einzuschleusen und hat bereits 2200+ Benutzer in mehr als 111 Ländern betroffen.
Neue Zloader-Angriffskette
Die eingehende Analyse von Check Point zeigt, dass die neueste Zloader-Kampagne das legitime Atera-Tool für Remote-Überwachung und -Verwaltung (RMM) missbraucht, um sich Zugang zu der anvisierten Instanz zu verschaffen. Insbesondere nutzen Angreifer die Möglichkeit von Atera aus, einen Agenten auf dem Endpunkt zu installieren und ihn einem bestimmten Konto zuzuweisen, das mit der E-Mail-Adresse des Angreifers verknüpft ist. Dies ermöglicht Bedrohungsakteuren vollen Zugriff auf das System von Interesse, einschließlich der Möglichkeit, bösartigen Code auszuführen und Dateien hoch- oder herunterzuladen.
Während der Erkundung der nächsten Angriffsphase haben Sicherheitsexperten zwei .bat-Dateien entdeckt, die von Angreifern im Verlauf der Kampagne ausgeführt werden, um Windows Defender-Konfigurationen zu ändern und andere Teile des bösartigen Codes hochzuladen. Der spätere, appContast.dll, wird mit „regsvr32.exe“ ausgeführt und in den Prozess „msiexec.exe“ injiziert, um die endgültige Zloader-Nutzlast vom C&C-Server unter der Kontrolle der Hacker zu laden.
Die Betreiber der Kampagne haben viel Mühe darauf verwendet, die Ausweichfähigkeiten zu verbessern und der Malware umfassenden Zugriff auf die anvisierten Systeme zu gewähren. Sicherheitsexperten stellen fest, dass während des Angriffs mehrere Skripte verwendet werden, um eine Erkennung zu vermeiden, Privilegien zu erhöhen und Sicherheitsvorkehrungen zu deaktivieren, während die Hauptnutzlast in die laufenden Prozesse injiziert wird.
Bemerkenswerterweise erhält die appContast.dll, eine legitime Atera-Bibliothek mit angehängtem Skript zur Installation von Zloader, eine gültige Codesignatur, so dass das Windows-Betriebssystem ihr im Grunde vertraut. Check Point-Experten glauben, dass MalSmoke-Hacker das ältere Problem im Signaturvalidierungsprozess von Microsoft (CVE-2020-1599, CVE-2013-3900, CVE-2012-0151) ausgenutzt haben, das 2012 offengelegt wurde. Trotz der vom Anbieter mit den strengeren Dateiverifizierungsrichtlinien behobenen Fehler scheinen die Updates in den Standardkonfigurationen irgendwie deaktiviert zu bleiben.
Erkennung der neuesten Zloader-Kampagne
Um Ihre Verteidigung gegen Zloader zu stärken und mögliche Angriffe gegen Ihre Infrastruktur zu erkennen, können Sie eine kostenlose Sigma-Regel herunterladen, die in der Detection as Code-Plattform von SOC Prime verfügbar ist.
Neue Zloader-Banking-Malware-Kampagne, die die Microsoft-Signaturüberprüfung ausnutzt (über registry_event)
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Sysmon, Qualys, Securonix und Open Distro.
Die Regel ist mit dem neuesten MITRE ATT&CK®-Rahmenwerk v.10 abgestimmt, das die Verteidigungsausweichtaktik mit Modify Registry als Haupttechnik anspricht (T1112).
Die vollständige Liste der im Threat Detection Marketplace-Repository der SOC Prime-Plattform verfügbaren Erkennungen ist hier.
Treten Sie SOC Prime, der weltweit ersten Plattform für kollaborative Cyberabwehr, Bedrohungsjagd und Entdeckung, bei, die sich mit über 20 SIEM- und XDR-Plattformen integriert. Jagen Sie sofort nach den neuesten Bedrohungen, automatisieren Sie die Bedrohungsuntersuchung und erhalten Sie Feedback und Verifizierungen von einer Community von über 20.000 Sicherheitsexperten, um Ihre Sicherheitsoperationen zu verbessern. Sind Sie ein Inhaltsautor? Nutzen Sie die Kraft der weltweit größten Cyber Defense-Community, indem Sie dem SOC Prime Threat Bounty-Programm beitreten, in dem Forscher ihre eigenen Erkennungsinhalte monetarisieren können.
