Neue Malware-Familien BEATDROP und BOOMMIC von APT29 eingesetzt: Phishing-Kampagnen mit HTML-Smuggling-Techniken und langfristigem Zugriff für Spionagezwecke

[post-views]
Mai 03, 2022 · 4 min zu lesen
Neue Malware-Familien BEATDROP und BOOMMIC von APT29 eingesetzt: Phishing-Kampagnen mit HTML-Smuggling-Techniken und langfristigem Zugriff für Spionagezwecke

APT29 ist eine von Russland staatlich geförderte Spionagegruppe, die von Cybersicherheitsexperten auch als Nobelium APTbezeichnet wird. Die Breite ihrer Angriffe entspricht Russlands aktuellen geopolitischen Zielen. Ihre neuesten Angriffe sind gekennzeichnet durch die Nutzung von BEATDROP- und BEACON-Loadern, um die BOOMMIC (VaporRage) Malware einzusetzen.

Sicherheitsanalysten berichten, dass die neuesten Phishing-Kampagnen darauf abzielen, Diplomaten und verschiedene Regierungsbehörden anzugreifen, mit dem Ziel, den Zugang in einer Umgebung für Spionagezwecke aufrechtzuerhalten.

APT29-Aktivität erkennen: Neue BEATDROP- und BOOMMIC-Malware

Die untenstehenden Regeln erkennen die bösartige Präsenz von APT29 anhand der folgenden Indikatoren: die Seitenbewegung der Bedrohungsakteure durch die Bereitstellung über eine geplante Aufgabe namens SharedRealitySvcDLC; SMB BEACON zu mehreren Systemen, um die Inszenierung von BEACON auf entfernten Systemen zu erleichtern; Erkennung der SMB BEACON-Nutzlast über pipe_event-Protokolle. by deploying it through a scheduled task named SharedRealitySvcDLC; SMB BEACON to multiple systems to facilitate the staging of BEACON on remote systems; detection of SMB BEACON payload via pipe_event logs. Die von unseren erstklassigen Threat Bounty Entwicklern entwickelten Regeln Nattatorn Chuensangarun, Emir Erdogan, Kaan Yeniyol:

Mögliche seitliche Bewegung der APT29-Gruppe mit SMB BEACON Inszenierung (process_creation)

Mögliche seitliche Bewegung von APT29 durch Verwendung der geplanten BEACON-Aufgabe (via cmdline)

Verdächtige seitliche Bewegung von APT29 durch Verwendung von SMB Beacon (via pipe_event)

Verdächtige SMB Beacon (APT29) (April 2022) Persistenz durch Erstellen einer geplanten Aufgabe (via security)

APT 29 Phishing-Kampagnen laden BEATDROP- und BOOMMIC-Malware herunter (via process_creation)

Drücken Alle ansehen -Taste, um die vollständige Liste der mit der APT29 verbundenen Erkennungen zu überprüfen, die im Threat Detection Marketplace-Repository der SOC Prime-Plattform verfügbar sind.

Möchten Sie sich mit den Branchenführern vernetzen und eigene Inhalte entwickeln? Treten Sie der crowdsourced-Initiative von SOC Prime als Inhaltsbeitragender bei und teilen Sie Ihre eigenen Sigma- und YARA-Regeln mit der globalen Cybersicherheitsgemeinschaft, während Sie die kollaborative Cyberverteidigung weltweit stärken.

Erkennungen anzeigen Werden Sie Mitglied von Threat Bounty

Details zu APT29-Phishing-Kampagnen

Die erste Erwähnung dieser facettenreichen Phishing-Kampagne erschien Anfang 2022. Forscher von Mandiant entdeckten, dass APT29 Spear-Phishing-E-Mails verschickt, die administrative Mitteilungen von Botschaften nachahmen, wobei legitime, aber gehackte E-Mail-Adressen verwendet wurden, die ursprünglich diplomatischen Einrichtungen gehörten. Es ist wahrscheinlich, dass die Nutzung legaler Cloud-Dienste wie Atlassians Trello für Command-and-Control als Versuch dienen, die Identifizierung und Eindämmung für die Opfer zu erschweren.

In dieser Phishing-Kampagne verwendeten Angreifer HTML-Smuggling, eine Phishing-Methode, die HTML5 und JavaScript verwendet, um Zeichenfolgen in einer HTML-Anlage oder Webseite zu verschlüsseln, um schädliche Nutzlasten zu verbergen. Wenn ein Benutzer einen Anhang öffnet oder auf einen Link klickt, dekodiert der Browser diese Zeichenfolgen. APT29-Akteure nutzten es, um IMG- und ISO-Dateien zu liefern – dies ist ihre erprobte Methode, die sich in den berüchtigten SolarWinds Supply-Chain-Angriffen als effizient erwiesen hat.

Nächstes entdeckten Sicherheitsanalysten den Einsatz von in C geschriebenen BEATDROP- und C++ BEACON-Downloadern. BEATDROP verbindet sich zu Trello für C2-Kommunikation und operiert im Speicher, nachdem es sich selbst in einen pausierten Thread eingebettet hat. Laut den aktuellen Daten wird es nun durch ein effizienteres C++ BEACON ersetzt, das Angreifer nutzen, um Port-Scans zu ermöglichen, Screenshots zu machen, Tastatureingaben zu erfassen und Daten zu exfiltrieren.

BEATDROP und BEACON werden verwendet, um BOOMIC aka VaporRage zu platzieren, um Beharrlichkeit in einem kompromittierten System zu etablieren.

Treten Sie SOC Primes Detection as Code Plattform bei, um wiederkehrende Gewinne zu erzielen, während Sie die Machtvorteile der besten Praktiken der kollaborativen Verteidigung nutzen. SOC Prime hat auch eine bedeutende Sammlung kostenloser Sigma-Regeln veröffentlicht, die in unserer Detection as Code Plattform zur Verfügung stehen im Hinblick auf Russlands Invasion in der Ukraine und die gestiegene Zahl staatlich geförderter Cyberangriffe, die auf Russland zurückgeführt werden können. Der Erkennungsinhalt unterstützt Cyberverteidigungsfachleute bei der Erkennung von Angriffen, die von mit Russland verbundenen hochkarätigen APTs gestartet wurden, gestärkt durch umfassende Forschung des SOC Prime-Teams und Entwicklern des Threat Bounty Programms.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Verwandte Beiträge