Merdoor Malware-Erkennung: Lancefly APT nutzt eine heimliche Hintertür bei langanhaltenden Angriffen auf Organisationen in Süd- und Südostasien

[post-views]
Mai 17, 2023 · 4 min zu lesen
Merdoor Malware-Erkennung: Lancefly APT nutzt eine heimliche Hintertür bei langanhaltenden Angriffen auf Organisationen in Süd- und Südostasien

Ein neuartiges Hacking-Kollektiv, das als Lacefly APT verfolgt wird, wurde kürzlich beobachtet, wie es eine maßgeschneiderte Merdoor-Backdoor einsetzt, um Organisationen in den Bereichen Regierung, Telekommunikation und Luftfahrt in Süd- und Südostasien anzugreifen. Laut den neuesten Berichten deuten diese gezielten Eindringversuche auf eine lang andauernde Gegnerkampagne hin, die Merdoor-Muster ausnutzt, wobei die ersten Spuren bis ins Jahr 2018 zurückreichen.

Erkennung der Merdoor-Backdoor durch Lancefly

Lancefly APT ist ein neuer Akteur am Markt, der es geschafft hat, jahrelang unbemerkt zu bleiben und Organisationen heimlich mit einer maßgeschneiderten Merdoor-Backdoor anzugreifen. Um Cyber-Verteidiger proaktiv gegen potenzielle Angriffe zu wappnen, hat die Detection as Code-Plattform von SOC Prime eine relevante Sigma-Regel aggregiert, um verdächtiges Verhalten im Zusammenhang mit Merdoor zu identifizieren:

Verdächtige MERDOOR-Backdoor-Verhalten Persistenz durch Erkennung der Löschregistrierung .[via Registry_Event]

Diese Regel von unserem aufmerksamen Threat Bounty-Entwickler Phyo Paing Htun ist kompatibel mit 21 SIEM-, EDR-, XDR- und BDP-Plattformen und wird mit MITRE ATT&CK Framework v12 abgebildet und adressiert Verteidigungsausweichtaktiken mit Registrierung ändern (T1112) als entsprechender Technik.

Threat Hunters und Detection Engineers, die nach Möglichkeiten suchen, ihre beruflichen Fähigkeiten zu monetarisieren und gleichzeitig zu einer sichereren Zukunft beizutragen, sind herzlich eingeladen, die Reihen der kollektiven Cyber-Verteidigung zu stärken, indem sie SOC Primes Threat Bounty Programbeitreten. Reichen Sie Ihre eigenen Sigma-Regeln ein, lassen Sie sie verifizieren und in unserem Threat Detection Marketplace veröffentlichen und erhalten Sie wiederkehrende Auszahlungen für Ihren unschätzbaren Beitrag.

Angesichts der wachsenden Bedrohung durch APT-Kollektive suchen Sicherheitsexperten nach einer zuverlässigen Quelle für Erkennungsinhalte, um damit verbundene Cyberangriffe rechtzeitig zu identifizieren. Drücken Sie auf den Erkennungen erkunden Button unten, um sofort tief in die vollständige Sammlung von Sigma-Regeln einzutauchen, um Tools und Angriffstechniken im Zusammenhang mit APT-Gruppen zu erkennen. Alle Erkennungsalgorithmen werden von den entsprechenden ATT&CK-Referenzen, Bedrohungsinformationslinks und anderen relevanten Metadaten begleitet.

Erkennungen erkunden

Medoor-Backdoor-Analyse

Anfrage gemäß Symantec Threat Labs, eine Gegnerkampagne, die seit einem halben Jahrzehnt in der bösartigen Arena aktiv ist, aber erst im Mai 2023 ans Licht kam. In diesen lang andauernden Eindringversuchen nutzt ein neuartiges APT-Kollektiv unter dem Spitznamen Lacefly eine kürzlich entdeckte Merdoor-Backdoor, die Organisationen in mehreren Branchen in Asien anvisiert. Experten stellten fest, dass Bedrohungsakteure Merdoor bereits früher 2020 und 2021 in ihrem Gegner-Werkzeugsatz einsetzten, was auf einige Ähnlichkeiten mit den jüngsten Cyberangriffen hindeutet.

Laut dem Bericht konzentrieren sich die Lancefly-Bedrohungsakteure hauptsächlich auf Cyber-Spionageaktivitäten und versuchen, Informationen von kompromittierten Benutzern zu sammeln. Die in den raffinierten Kampagnen eingesetzte Merdoor-Malware steht seit mindestens 2018 im Rampenlicht. Die Malware ist ein sich selbst extrahierendes Archiv, das in der Lage ist, sich als Dienst zu installieren, Keylogging durchzuführen und eine breite Palette von Methoden zur C2-Server-Kommunikation zu nutzen.

In früheren böswilligen Operationen nutzten die Lancefly-Akteure den Phishing-Angriffsvektor, während in der neuesten Kampagne die anfänglichen Angriffsvektoren möglicherweise SSH-Brute-Force oder ein öffentlich zugänglicher Server sind. Auch in den neuesten Angriffen zeigten die Bedrohungsakteure Verhaltensmuster, die ihren bisherigen Kampagnen ähneln, indem sie eine Reihe nicht-malschafter Techniken verwendeten, um Benutzeranmeldeinformationen auf den Zielsystemen auszulesen, wie PowrShell und getarnte Versionen legitimer Tools.

Die häufige Merdoor-Infektion beginnt mit der Backdoor-Injektion in einen der legitimen Prozesse (perfhost.exe or svchost.exe), gefolgt von der Verbindung zum C2-Server. Anschließend führen Angreifer Befehle aus, um Prozesse zu injizieren oder den LSASS-Speicher zu entladen, was ihnen ermöglicht, Benutzeranmeldeinformationen zu stehlen und erweiterten Zugriff auf die Zielnetzwerke zu erlangen. Dann könnten Gegner ein getarntes WinRAR-Archivierungsprogramm vor der Datenexfiltration verwenden. Auch Lancefly-Akteure wurden beim Einsatz von Blackloader und Prcloader beobachtet, die mit der berüchtigten PlugX-Malwarein Verbindung stehen. In der neuesten Kampagne hat das Hacking-Kollektiv auch eine aktualisierte Version des ZXShell-Rootkits genutzt, die fortschrittlicher ist als frühere Iterationen, da sie kleiner ist und ausgeklügelte Erkennungsumgehungstechniken anwendet.

Lancefly-Bedrohungsakteure könnten mit der APT41-Gruppe verbunden sein, da das gemeinsame ZXShell-Rootkit-Zertifikat verwendet wird; jedoch ist letzteres, ähnlich wie andere von China unterstützte Bedrohungsakteure, dafür bekannt, Zertifikate mit anderen Gegnern zu teilen. Auch könnte Lancefly mit der Gegneraktivität der chinesischen APT-Gruppen in Verbindung stehen, da in ihren Kampagnen PlugX und ShadowPad eingesetzt werden, die beide häufig im Gegner-Werkzeugsatz der von China unterstützten Akteure verwendet werden. Dennoch gibt es noch nicht genügend Beweise, um die böswillige Aktivität von Lancefly mit einem der berüchtigten Hacking-Kollektive in Verbindung zu bringen.

Mit dem zunehmenden Umfang destruktiver Angriffe, die auf von Nationen unterstützte Hacking-Kollektive zurückgeführt werden, einschließlich chinesischer APT-Gruppen, die im Bereich der Cyberbedrohungen Chaos verursachen, suchen Cyberverteidiger nach Möglichkeiten, ihr Cybersicherheitsprofil risikobasiert zu optimieren. Mit SOC Prime sind über 900 Sigma-Regeln für APT-bezogene Werkzeuge und Cyberangriffe nur einen Klick entfernt! Holen Sie sich 200+ Sigma-Regeln kostenlos oder erhalten Sie den gesamten Erkennungsstapel mit On Demand bei my.socprime.com/pricing.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Erkennung der Secret Blizzard-Angriffe: russland-unterstützte APT zielt mit ApolloShadow-Malware auf ausländische Botschaften in Moskau ab 5 min zu lesen Neueste Bedrohungen Erkennung der Secret Blizzard-Angriffe: russland-unterstützte APT zielt mit ApolloShadow-Malware auf ausländische Botschaften in Moskau ab by Daryna Olyniychuk AI Threat Intelligence 13 min zu lesen SIEM & EDR AI Threat Intelligence by Veronika Telychko APT41-Angriffserkennung: Chinesische Hacker nutzen Google Kalender aus und liefern TOUGHPROGRESS-Malware, die auf Regierungsbehörden abzielt 5 min zu lesen Neueste Bedrohungen APT41-Angriffserkennung: Chinesische Hacker nutzen Google Kalender aus und liefern TOUGHPROGRESS-Malware, die auf Regierungsbehörden abzielt by Daryna Olyniychuk
Alle Nachrichten