PowerShell RAT-Erkennung: Maßgeschneiderte Malware zur Beschaffung von kriegsrelevanten Informationen

In Deutschland befindliche Benutzer fallen einer neuen Malware-Kampagne zum Opfer, die darauf abzielt, einen maßgeschneiderten PowerShell Remote Access Trojaner (RAT) zu verbreiten. Die Angreifer richteten eine Schein-Website ein, um Menschen mit einer gefälschten Nachricht zu täuschen, die vorgibt, bisher unveröffentlichte Informationen über die Lage in der Ukraine zu bieten. Die Opfer werden aufgefordert, ein Dokument herunterzuladen, das mehr Informationen zu dem Thema liefern soll. Diese bewaffnete Datei installiert einen speziellen RAT, der es Angreifern ermöglicht, remote Kommandos auf einer kompromittierten Maschine auszuführen.

Wie die Forschungsdaten nahelegen, gibt es derzeit nicht genügend Beweise, um zu zeigen, wer genau für die Angriffe verantwortlich ist.

PowerShell RAT erkennen

Erkennen Sie, ob Ihr System mit PowerShell RAT kompromittiert wurde, indem Sie relevante bösartige Aktivitäten mit einer auf SIgma basierenden Regel identifizieren, die von einem erfahrenen Detection Engineer des Threat Bounty Program entwickelt wurde. Furkan Celik:

Selbst erstellte geplante PowerShell RAT-Aufträge erkennen (via security)

Die Erkennung ist für die 16 SIEM-, EDR- und XDR-Plattformen verfügbar, im Einklang mit dem neuesten MITRE ATT&CK®-Framework v.10, das die Ausführungstaktik mit geplanten Aufgaben (Scheduled Task/Job, T1053) als Haupttechnik adressiert.

Etablierte Fachleute im Bereich Threat Hunting und Threat Detection sind eingeladen, zu unserer globalen Crowdsourcing-Initiative beizutragen. Halten Sie die Verteidigungslinie gegen aufkommende Bedrohungen und monetarisieren Sie Ihre fortgeschrittenen Cyber-Fähigkeiten. Treten Sie dem SOC Prime Threat Bounty Program bei und sichern Sie sich ein stabiles Einkommen für Ihre Erkennungsinhalte — wie SIGMA-, Yara- und Snort-Regeln.

Erkennungen anzeigen Threat Bounty beitreten

PowerShell RAT Malware-Analyse

Malwarebytes Forscher haben PowerShell RAT, ein Stück Malware von einem wahrscheinlich Russland-unterstützten Bedrohungsakteur, aufgedeckt, das sich gegen Benutzer in Deutschland richtet, die versuchen, kriegsbezogene Informationen zur Ukraine-Krise zu erhalten. In der jüngsten gut geplanten Angriffskampagne richteten die Angreifer eine falsche Website ein, die eine abgelaufene Domain verwendet, die zuvor für die Regierungszwecke des Landes Baden-Württemberg genutzt wurde. Getäuschte Webseitenbesucher wurden dazu gebracht, ein ZIP-Archiv herunterzuladen, das angeblich Informationen zur Bedrohungslage in der Ukraine für das zweite Quartal 2022 mit regelmäßigen Updates enthielt, wenn es heruntergeladen wurde. Was die angebotene Datei beinhaltete, war ein maßgeschneiderter PowerShell RAT.

Die ZIP-Datei enthält eine CHM-Datei mit einer Reihe von kompilierten HTML-Dateien. Beim Öffnen wird dem Opfer eine gefälschte Fehlermeldung angezeigt. Währenddessen startet die Datei im Hintergrund PowerShell, das einen Base64-Deobfuscator ausführt, bevor ein bösartiges Skript von der Schein-Website aus Baden-Württemberg abgerufen und ausgeführt wird. Schließlich legt das Skript zwei Dateien auf der kompromittierten Maschine ab: eine .txt-Datei mit dem in PowerShell geschriebenen RAT und eine .cmd-Datei, die es PowerShell ermöglicht, ihn zu starten. Der RAT ruft Dateien vom C&C-Server ab und lädt sie hoch, lädt und führt ein PowerShell-Skript aus und führt einen bestimmten Befehl aus.

Diese Angriffe russischen, gesponserten Bedrohungsakteuren zuzuordnen, wäre momentan noch sehr spekulativ, aber die Motivation der Gegner passt in das Muster. 

Kontinuierlich Verteidigungen anzupassen, um Gegner auszuspielen, mag herausfordernd erscheinen, aber gemeinsam stehen wir stark! Nutzen Sie die Kraft der weltweit größten Cyberverteidigungsgemeinschaft von über 23.000 SOC-Profis, um Ihre Sicherheitspraktiken zu verstärken mit SOC Prime.