Erkennung von SquirrelWaffle-Malware
Inhaltsverzeichnis:
Der Thron ist niemals vakant! Treffen Sie SquirrelWaffle, einen neuen bösartigen Loader in der Stadt, der bestrebt ist, den berüchtigten Emotet zu ersetzen. Seit Beginn des Herbstes 2021 hat SquirrelWaffle massiv Hosts über Spam-Kampagnen kompromittiert, um Gegnern die Fähigkeit zu geben, zweite Stufe-Payloads fallen zu lassen, einschließlich solcher Muster wie Qakbot und Cobalt Strike.
Attack Kill Chain
SquirrelWaffle ist ein Neuling im Spam-Bereich, der erstmals Mitte September 2021 entdeckt wurde. Es wurde zunehmend mit Hilfe von Malspam verbreitet, das auf präparierte Microsoft Office-Dokumente angewiesen war.
Laut der Analyse des von Cisco Talos durchgeführten SquirrelWaffle-Angriff-Frameworks, verließen sich die Angreifer auf die Technik der E-Mail-Thread-Übernahme, um Spam als legitime Antworten auf bestehendeE-Mail-Threads zu tarnen. Eine solche Taktik imitiert Emotets Ansatz zum Gewinn von Glaubwürdigkeit und beweist, dass die SquirrelWaffle-Betreiber es auf Emotet Ruhm abgesehen haben.
Bemerkenswerterweise werden die meisten gefälschten Benachrichtigungen auf Englisch versendet, jedoch wird eine grundlegende Lokalisierung durchgeführt. Spam wechselt die Sprache spontan, um den ursprünglichen E-Mail-Thread anzupassen. Derzeit haben Forscher festgestellt, dass zusätzlich zu den vorherrschenden englischsprachigen Nachrichten auch Französisch, Niederländisch, Deutsch und Polnisch verwendet werden.
Der Spam enthält Links, die ahnungslose Opfer zu bösartigen ZIP-Archiven umleiten, die sich auf Servern unter der Kontrolle von Hackern befinden. Die Archive enthalten Word- oder Excel-Dateien, die Malware auf infizierte Maschinen fallen lassen, wenn sie geöffnet werden. Bemerkenswerterweise nutzen die Angreifer den DocuSign-Signaturdienst, um Opfer irrezuleiten und sie dazu zu bringen, Makros zu aktivieren. Nachdem SquirrelWaffle erfolgreich auf dem Rechner des Benutzers landet, werden zweite Stufe-Malware wie Qakbot Malware oder CobaltStrike Pentesting-Tool abgeladen.
Um Spuren zu verwischen und einer Erkennung zu entgehen, nutzt SquirrelWaffle eine IP-Blockierungsliste, die von großen Sicherheitsfirmen aufgestellt wurde. Zudem sind alle Kommunikationswege zwischen dem neuen Loader und der Command-and-Control (C&C)-Infrastruktur mit XOR und Base64 verschlüsselt und werden dann über HTTP-POST-Anfragen gesendet. Schließlich verlassen sich die Bedrohungsakteure auf zuvor kompromittierte Webserver, von denen die meisten WordPress 5.8.1 ausführen, um im Aspekt der Dateiverteilung erfolgreich zu sein.
SquirrelWaffle-Erkennung und -Minderung
Da SquirrelWaffle zunehmend das Ausmaß und den Umfang seiner bösartigen Anstrengungen beschleunigt, sollten Unternehmen weltweit ihre Abwehr gegen die neue Bedrohung stärken. Um mögliche Angriffe auf Ihre Infrastruktur zu erkennen, können Sie ein Set von Sigma-Regeln herunterladen, die auf der Detection as Code-Plattform von SOC Prime verfügbar sind.
SquirrelWaffle Loader-Aktivität mit CobaltStrike
SquirrelWaffle Malware setzt Cobalt Strike ab
SquirrelWaffle Verhaltensmuster (über cmdline)
SquirrelWaffle kompromittiert Opfer über eine Malspam-Kampagne
SquirrelWaffle Loader mit Qakbot und CobaltStrike
Neue SquirrelWaffle-Malware mit Cobalt Strike (über Proxy)
Die vollständige Liste der Erkennungsinhalte, die auf die SquirrelWaffle-Infektionen abzielen, ist hier. verfügbar. Alle Erkennungsregeln sind dem MITRE ATT&CK-Framework zugeordnet, sorgfältig gepflegt und überprüft.
Erkunden Sie die weltweit erste Detection as Code-Plattform für kollaborative Cyber-Abwehr, Bedrohungsjagd und -entdeckung, um Erkennungsfähigkeiten zu verbessern und Angriffe einfacher, schneller und effizienter abzuwehren. Möchten Sie Ihre eigenen Sigma- und YARA-Regeln erstellen, um die Welt sicherer zu machen? Treten Sie unserem Threat Bounty-Programm bei, um wiederkehrende Belohnungen für Ihren wertvollen Beitrag zu erhalten!
