Purple Fox Rootkit Erhält Jetzt Möglichkeit zur Wurmverbreitung
Inhaltsverzeichnis:
Sicherheitsanalysten von Guardicore Labs haben kürzlich eine neue Variante des berüchtigten Purple Fox Rootkits entdeckt, das sich nun als Wurm auf Windows-Maschinen verbreitet. Dieses neueste Malware-Upgrade führt zu einem signifikanten Anstieg der Purple Fox-Infektionen und zeigt einen Zuwachs von 600 % seit dem Frühjahr 2020. Diese laufende Kampagne stützt sich stark auf Port-Scanning und schlecht gesicherte SMB-Dienste und verdeutlicht den Wechsel der Malware-Betreiber von Exploit-Kit-Funktionen.
Übersicht über das Purple Fox Rootkit
Purple Fox ist ein dateiloser Malware-Downloader mit erweiterten Rootkit- und Hintertürfähigkeiten. Seit seinem Auftauchen im Jahr 2018 wird die Bedrohung aktiv von Angreifern genutzt, um verschiedene Trojaner, Krypto-Miner, informationstehlende Stränge und Ransomware-Proben zu überliefern.
Anfangs basierte die Malware hauptsächlich auf bekannten Microsoft-Exploits (CVE-2020-0674, CVE-2019-1458, CVE-2018-8120, CVE-2015-1701) und Phishing-E-Mails zur Malware-Lieferung. Im Mai 2020 erwarb Purple Fox jedoch wurmähnliche Fähigkeiten, um Instanzen ohne jegliche Benutzerinteraktion oder zusätzliche Tools zu infizieren. Nun kann es sich über SMB-Brute-Force-Verfahren in Windows-Systemen verbreiten und schnell Tausende von Geräten infizieren.
Nach der Infektion nutzt die Malware ihr Rootkit-Modul, um bösartige Aktivitäten zu verbergen, weitere Malware am Host abzulegen und setzt ihre Brute-Force-Versuche fort. Die Guardicore Labs Bericht schätzt, dass die Betreiber von Purple Fox bis März 2021 über 90.000 erfolgreiche Angriffe durchgeführt haben.
Neue Angriffskette
Die Infektionskette beginnt traditionell mit einer Phishing-E-Mail, die einen neuen wurmähnlichen Purple Fox-Stamm tarnt, der als Windows-Update-Paket getarnt ist. Sollte der Benutzer dazu verleitet werden, die angehängte ausführbare Datei zu starten, lädt ein dedizierter MSI-Installer drei Payloads von einem kompromittierten Windows-Server herunter, um Tarnung, Port-Scanning und Anhaltefunktionen durchzuführen. Nachdem der Code auf dem kompromittierten Host ausgeführt wurde, blockiert die Malware die Ports 445, 139, 135, um eine erneute Infektion zu verhindern, generiert IP-Bereiche und startet Port-445-Scans, um verwundbare Geräte mit ins Internet exponierten SMB-Diensten zu identifizieren. Wird ein solches Gerät erkannt, führt Purple Fox einen SMB-Brute-Force-Angriff durch, um neue Geräte zu infizieren und weiter zu verbreiten.
Bemerkenswerterweise identifizierten Sicherheitsforscher fast 3.000 von Purple Fox kompromittierte Microsoft-Server, die seine Dropper und bösartigen ausführbaren Dateien hosten. Die meisten Server verwenden veraltete IIS-Versionen 7.5 und Microsoft-FTP, die Berichten zufolge mehrere Sicherheitslücken aufweisen.
Purple Fox Erkennung
Um sich gegen die neue Version der Purple Fox-Malware zu verteidigen, können Sie eine von unserem engagierten Threat-Bounty-Entwickler Osman Demir:
Die Regel hat Übersetzungen zu folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Taktiken: Persistenz, Privilegieneskalation
Techniken: Neuer Dienst (T1050)
Abonnieren Sie den Threat Detection Marketplace, eine weltweit führende Detection as Code-Plattform, die Ihre Cyberverteidigungsfähigkeiten stärken kann. Unsere SOC-Inhaltsbibliothek enthält über 100.000 Erkennungs- und Reaktionsregeln, Parser, Suchanfragen und andere Inhalte, die CVE- und MITRE ATT&CK®-Frameworks zugeordnet sind, damit Sie der wachsenden Anzahl von Cyberangriffen standhalten können. Haben Sie die neuesten Cybersicherheitstrends im Blick und möchten an Threat-Hunting-Aktivitäten teilnehmen? Treten Sie unserem Threat Bounty Programm bei!
