Angriffe durch das Parrot Traffic Direction System (TDS)
Inhaltsverzeichnis:
Ein neuartiges Traffic Direction System (TDS), genannt Parrot TDS, nutzt ein Netzwerk gehackter Server, die Websites hosten, um Opfer, die das erforderliche Profil erfüllen, auf Domains zu leiten, die zum Ausführen von Betrugsschemata oder zum Verteilen von Malware genutzt werden. Laut den aktuellen Daten hat die Anzahl der kompromittierten Websites 16.500 erreicht und steigt weiter. Angreifer zielen in erster Linie auf legitime Server, die Datenbanken hosten, sowie auf Websites von Bildungseinrichtungen, staatlichen Ressourcen und Plattformen für Inhalte für Erwachsene.
Erkennung bösartiger Aktivitäten im Zusammenhang mit Parrot TDS
Um bösartige Dateien zu erkennen, die von Parrot TDS-Operatoren in Ihr System eingeschleust wurden, nutzen Sie die Sigma-basierte Regel, die von unserem Threat Bounty Entwickler erstellt wurde Furkan Celik, der immer auf der Suche nach neuen Bedrohungen ist:
Diese Erkennung ist für die folgenden SIEM-, EDR- & XDR-Plattformen verfügbar: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro und AWS OpenSearch.
Die Regel ist mit dem neuesten MITRE ATT&CK® Framework v.10 ausgerichtet und behandelt die Taktik Command and Control mit Remote Access Software (T1219) als primärer Technik.
Durchsuchen Sie die umfangreiche Regelbibliothek auf der SOC Prime-Plattform, um weitere relevante Bedrohungserkennungsinhalte zu finden und festzustellen, ob Ihr System mit bösartigen Dateien infiziert ist. Sind Sie ein professioneller Threat Hunter, der sein Fachwissen mit der weltweit größten Cybersicherheitsgemeinschaft teilen möchte? Schließen Sie sich unserer Crowdsourcing-Initiative an und erhalten Sie kontinuierliche Belohnungen und Anerkennung mit dem Threat Bounty-Programm.
Erkennungen anzeigen Threat Bounty beitreten
Kampagnen mit Parrot TDS
Laut einem neuen Bericht von Forschern bei Avast, erschien Parrot TDS etwa im Oktober 2021, wobei die Anzahl der Kampagnen, die dieses Werkzeug nutzen, im Februar 2022 in die Höhe schnellte.
Parrot TDS dient als Portal, über das schädlichere Kampagnen potenzielle Opfer erreichen könnten. In diesem Szenario verändert FakeUpdates (auch bekannt als SocGholish) das Erscheinungsbild infizierter Sites mit JavaScript, um gefälschte Warnungen für das Browser-Upgrade anzuzeigen, wobei eine erforderliche Datei bequem heruntergeladen werden kann. Was die Opfer wirklich erhalten, ist ein Remote-Access-Tool.
Wenn ein getäuschter Benutzer eine der infizierten Seiten besucht, verwendet Parrot TDS ein injiziertes PHP-Skript, das auf der kompromittierten Website installiert ist, um Client-Informationen zu sammeln und die Anfrage an den Command-and-Control (C2)-Server zu senden, wodurch der Angreifer beliebigen Code ausführen kann. Der C2-Server antwortet mit JavaScript-Code, der auf dem System des Opfers läuft und sie potenziell weiteren Risiken aussetzt. Ein Web-Shell, das dem Angreifer persistenten Remote-Zugriff auf den Webserver bietet, wurde zusammen mit dem bösartigen Backdoor PHP-Skript ebenfalls entdeckt. Die Nutzlast ist der NetSupport Client RAT, der so eingestellt ist, dass er unauffällig läuft und Zugriff auf die kompromittierte Maschine gewährt. Das erwähnte Web-Shell wird weiter an mehreren Stellen unter fast identischen Namen kopiert — daher der Ursprung des Namens „parroting“ des TDS.
Die Betreiber von Parrot TDS konzentrieren ihr bösartiges Interesse darauf, Server auszunutzen, die von WordPress und Joomla betriebene Websites hosten, im Gegensatz zu ihrem Vorgänger aus dem frühen Herbst 2020, dem TDS, das Prometheus genannt wurde. In der Prometheus TDS-Kill-Kette nutzten Bedrohungsakteure Spam-E-Mails mit einem HTML-Anhang, einer Google Docs-URL oder einem Link zu einer Web-Shell, die auf einem gehackten Server gehostet wurde, um einen bösartigen Prozess einzuleiten. Eine bösartige URL führte Opfer zu einem Prometheus PHP-Backdoor, das die erforderlichen Informationen sammelte und an das Admin-Panel sendete, damit die Bedrohungsakteure hinter den Angriffen entscheiden können, ob sie Malware direkt an den Benutzer liefern oder sie zu einer anderen, von den Hackern festgelegten URL umleiten.
Folgen Sie den Updates im SOC Prime Blog , um mehr über die neuesten heißen Cybersicherheitsthemen zu erfahren und Ihre Bedrohungsabwehrfähigkeiten zu verbessern. Eifrig darauf, Ihre Erkennungsinhalte mit der weltweit größten Community für Cyberabwehr zu teilen? Cybersicherheitsforscher und Inhaltsautoren auf der ganzen Welt sind herzlich eingeladen, zur kollaborativen Cyberabwehr beizutragen, wiederkehrende Belohnungen zu verdienen und im Kampf gegen aktuelle und sich weiterentwickelnde Bedrohungen anzutreten.
