PXA Stealer Erkennung: Vietnamesische Hacker treffen den öffentlichen Sektor und Bildungsbereich in Europa und Asien
Inhaltsverzeichnis:
Unmittelbar nach der jüngsten Welle von Cyberangriffen, die eine hochgradig ausweichende Strela Stealer in Mittel- und Südwesteuropa nutzen, wird ein neuer Infostealer ins Rampenlicht gerückt, der sich auf sensible Daten in den Regierungs- und Bildungssektoren in ganz Europa und Asien konzentriert. Verteidiger haben eine anhaltende Informationsdiebstahl-Kampagne beobachtet, die vietnamesischen Sprechern zugeschrieben wird, die eine neuartige, auf Python basierende Malware namens PXA Stealer nutzen.
PXA Stealer Erkennung
Laut der Google Cloud Sicherheitsprognose für 2025gibt es einen besorgniserregenden Anstieg der Raffinesse und Wirksamkeit von Informationsdiebstahl-Malware, die im kommenden Jahr voraussichtlich zunehmen wird. Die laufende Kampagne mit einem neuen Infostealer, PXA Stealer, erfordert eine ultra-schnelle Reaktion der Verteidiger aufgrund der fortschrittlichen Fähigkeiten der Malware und eines breiten Angriffsbereichs, der sich über Europa und Asien erstreckt. Die SOC Prime Plattform für kollektive Cyber-Verteidigung bietet eine Reihe von Erkennungsalgorithmen, um Verteidiger zu unterstützen, Cyberangriffe zu verhindern, die PXA Stealer nutzen.
Alle Erkennungen sind auf MITRE ATT&CK®abgebildet, angereichert mit relevantem Cyberbedrohungskontext wie maßgeschneiderter CTI und umsetzbarer Metadaten und können auf mehr als 30 SIEM-, EDR- und Data-Lake-Lösungen für die plattformübergreifende Bedrohungserkennung angewendet werden. Drücken Sie Erkennungen erkunden um die entsprechenden plattformunabhängigen Sigma-Regeln für die PXA Stealer Erkennung zu erreichen.
PXA Stealer Analyse
Forscher von Cisco Talos haben eine neue Informationsdiebstahl-Kampagne identifiziert, die von vietnamesischsprachigen Hackern geführt wird und sich gegen staatliche Stellen und Bildungseinrichtungen in ganz Europa, einschließlich Schweden und Dänemark, sowie in Asien richtet. Gegner nutzen eine neu entdeckte, auf Python basierende Malware namens PXA Stealer, die entwickelt wurde, um sensible Daten wie Anmeldedaten für Online-Konten, VPN- und FTP-Clients, Finanzdaten, Browser-Cookies und Informationen von Gaming-Anwendungen zu extrahieren. Eine bemerkenswerte Fähigkeit von PXA Stealer ist das Entschlüsseln des Master-Passworts des Opfers, um gespeicherte Anmeldedaten für verschiedene Online-Konten zu extrahieren.
Während die Domain, die bösartige Skripte und den PXA Stealer hostet, einem vietnamesischen SEO-Dienstanbieter gehört, ist es noch unklar, ob sie von Angreifern kompromittiert wurde oder absichtlich genutzt wird. Dennoch sind Links nach Vietnam durch vietnamesische Kommentare im Stealer-Programm und ein hartcodiertes Telegram-Konto namens „Lone None“ offensichtlich, das ein Icon der vietnamesischen Nationalflagge und ein Bild des Emblems des vietnamesischen Ministeriums für öffentliche Sicherheit zeigt.
Laut der Untersuchung nutzten die Gegner einen Telegram-Bot zur Datenexfiltration, wobei die Nutzlast Telegram-Bot-Token und Chat-IDs unter ihrer Kontrolle enthielt. Außerdem entdeckten Forscher die Aktivitäten der Angreifer im Untergrund-Telegram-Kanal „Mua Bán Scan MINI“, wo sie Facebook- und Zalo-Konten, SIM-Karten, Anmeldedaten und Geldwäsche-Daten handeln. Zudem sind die Gegner mit dem unterirdischen Telegram-Kanal „Cú Black Ads – Dropship“ verbunden, der Werkzeuge zur Verwaltung von Benutzerkonten, Proxy-Diensten und Massenkontenerstellung fördert. Während sie in derselben Telegram-Gruppe wie CoralRaider auftreten, bleibt ihre Verbindung zur Bande ungewiss.
Bemerkenswert ist, dass Hacker automatisierte Werkzeuge in der Gruppe teilen, um mehrere Konten zu verwalten, darunter Hotmail-Batch-Ersteller, E-Mail-Miner und Cookie-Änderungstools. Diese Werkzeuge, oft mit Quellcode zur Anpassung gebündelt, werden auch auf Websites wie aehack[.]com verkauft und über einen YouTube-Kanal mit Nutzungstutorials beworben, was auf eine organisierte Anstrengung zur Vermarktung und Anleitung von Benutzern hinweist.
Der Infektionsablauf beginnt mit einer Phishing-E-Mail mit dem ZIP-Anhang, der den versteckten Ordner und das bösartige Rust-Loader-Executable enthält, die nach dem Entpacken eines Archivs auf dem Rechner des Opfers abgelegt werden. Die Ausführung des Rust-Loaders löst die Batch-Skripte aus, die dafür verantwortlich sind, das Lockdokument, ein Glassdoor-Bewerbungsformular, zu öffnen, während auch PowerShell-Befehle ausgeführt werden, um eine Nutzlast herunterzuladen und auszuführen, die Antivirus-Programme auf dem Host deaktivieren kann, gefolgt von der Bereitstellung des Stealers selbst.
PXA Stealer kann den Master-Schlüssel des Browsers entschlüsseln, der sensible Daten wie Passwörter und Cookies in Browsern wie Google Chrome und Chromium-basierten schützt. Dies ermöglicht dem Angreifer den Zugriff auf gespeicherte Anmeldedaten und andere Browserinformationen. Er extrahiert auch Benutzerprofilpfade aus Browsern wie Mozilla Firefox und anderen über die profiles.ini-Datei, um gespeicherte Passwörter oder andere Daten abzurufen. Zusätzlich zielt der Stealer auf Kreditkartendaten aus der „webappsstore.sqlite“ Datenbank.
Ein Schlüsselmerkmal des PXA Stealers ist sein Fokus auf das Stehlen von Facebook-Cookies, die zur Authentifizierung von Sitzungen verwendet werden und Zugriff auf den Facebook Ads Manager und die Graph API ermöglichen, um weitere Konto- und anzeigende Informationen zu erhalten. Die Kampagne ist auch bemerkenswert für den Einsatz fortschrittlicher Verschleierungstechniken in den Batch-Skripten, die es schwieriger machen, die Infektionspräsenz zu erkennen.
Mit der wachsenden Zahl von Informationsdiebstahl-Kampagnen, die Organisationen in verschiedenen Geschäftsbereichen und geografischen Regionen anvisieren, ist es entscheidend, die proaktive Verteidigung zu stärken, um das Risiko von Datendiebstahl zu minimieren. Die vollständige Produktrange von SOC Prime für KI-gestützte Detection-Engineering, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung ermöglicht Sicherheitsteams, der aufkommenden Bedrohung voraus zu sein oder jegliche Malware-Präsenz in ihrem Umfeld in den frühesten Angriffsphasen zu identifizieren und gleichzeitig die Cyber-Resilienz der Organisation zu verbessern. for AI-powered detection engineering, automated threat hunting, and advanced threat detection enables security teams to stay ahead of emerging threats or identify any malware presence in their environment at the earliest attack stages while improving the organization’s cyber resilience.
