Es wird vermutet, dass die kriminelle Gruppe "Golden Chickens" ihre more_eggs-Backdoor für Spear-Phishing-Kampagnen verkauft. [...]
Eine Gruppe von Kriminellen, die hinter einer getarnten Backdoor namens more_eggs steckt, zielt auf Berufstätige mit gefälschten Jobangeboten ab, die auf der Grundlage von Informationen aus deren LinkedIn-Profilen auf sie zugeschnitten sind.
Die Bande verkauft den Zugang zu Systemen, die mit der Backdoor infiziert sind, an andere raffinierte Cybercrime-Gruppen wie FIN6, Evilnum und Cobalt Group, die bekanntermaßen Unternehmen aus verschiedenen Branchen ins Visier nehmen.
Spearfishing mit LinkedIn-Informationen
Bei einem Angriff, der kürzlich von Forschern des Managed Detection and Response-Unternehmens eSentire entdeckt wurde, zielten die Hacker mit einer Phishing-E-Mail, die ein Jobangebot für eine Position vortäuschte, die identisch mit der war, die die Zielperson auf ihrer LinkedIn-Profilseite angegeben hatte, auf eine Fachkraft ab, die in der Gesundheitstechnologiebranche arbeitet. Dies scheint eine Technik zu sein, die diese Gruppe, die in der Sicherheitsbranche als „Golden Chickens“ bekannt ist, auch in der Vergangenheit verwendet hat.
Die betrügerischen E-Mails enthalten eine Zip-Datei, die nach der Jobposition benannt ist, die in der E-Mail angeboten wird. Wird sie geöffnet, startet sie eine bösartige Komponente namens VenomLNK, die als erste Stufe der more_eggs-Infektion dient.
„Golden Chickens verkaufen die Backdoor im Rahmen eines Malware-as-a-Service (MaaS)-Arrangements an andere Cyberkriminelle“, so das Forschungsteam von eSentire in seinem Bericht. „Sobald more_eggs auf dem Computersystem des Opfers ist, können die Kunden von Golden Eggs eindringen und das System mit jeder Art von Malware infizieren: Ransomware, Credential Stealers, Banking-Malware, oder einfach die Backdoor als Einfallstor in das Netzwerk des Opfers nutzen, um Daten zu exfiltrieren.“
Die Infektionskette
Sobald VenomLNK auf dem Computer eines Opfers ausgeführt wird, verwendet es Windows Management Instrumentation (WMI), ein Subsystem von PowerShell, um die zweite Stufe des Angriffs zu implementieren: einen Malware-Loader namens TerraLoader.
TerraLoader entführt zwei legitime Windows-Prozesse, cmstp und regsvr32, um die endgültige Nutzlast namens TerraPreter zu laden, die von Servern heruntergeladen wird, die auf Amazon AWS gehostet werden, um mögliche Netzwerkfilter zu umgehen, und die als ActiveX-Steuerelement bereitgestellt wird. ActiveX ist ein Framework, das die Ausführung von Code über den Internet Explorer ermöglicht und nativ von Windows unterstützt wird.
TerraLoader legt auch ein Microsoft Word-Dokument ab und öffnet es, das so gestaltet ist, dass es wie eine legitime Bewerbung aussieht. Dies dient nur als Köder, damit der Benutzer nach dem Öffnen des E-Mail-Anhangs keinen Verdacht schöpft.
Die TerraPreter-Nutzlast signalisiert dem Command-and-Control-Server der Angreifer, dass sie eingesetzt wurde und bereit ist, Befehle zu empfangen. Die Angreifer können dann damit direkten Zugriff auf den Computer des Opfers erlangen und Plugins oder zusätzliche Malware-Payloads installieren.
„More_eggs behält ein unauffälliges Profil bei, indem es legitime Windows-Prozesse missbraucht und diese über Skriptdateien mit Prozessanweisungen füttert“, so die eSentire-Forscher. „Darüber hinaus scheinen die Kampagnen, die das MaaS-Angebot nutzen, im Vergleich zu typischen Malspam-Verteilungsnetzwerken spärlich und selektiv zu sein.“
Golden Chickens‘ mächtige Kunden
Die Golden Chickens scheinen nur eine ausgewählte Gruppe von hochkarätigen Angreifern zu bedienen. Einer ihrer Kunden ist wahrscheinlich FIN6, eine berüchtigte Finanz-Cybercrime-Gruppe, die mindestens seit 2014 existiert. Diese Gruppe ist dafür bekannt, physische Point-of-Sale-Systeme und in jüngerer Zeit auch Online-Zahlungssysteme ins Visier zu nehmen, um Kartendaten zu stehlen und auf dem Untergrundmarkt zu verkaufen.
FIN6 hat im Laufe der Jahre Unternehmen aus dem Einzelhandel, dem Gastgewerbe und der Gastronomie angegriffen und wurde 2019 bei Angriffen auf E-Commerce-Unternehmen mit der more_eggs-Hintertür gesehen. In einer separaten Kampagne aus dem Jahr 2019, die auf multinationale Unternehmen abzielte, verwendete FIN6 denselben Phishing-Köder, der auf gefälschte Jobangebote setzte, um Mitarbeiter anzusprechen.
Ein weiterer Bedrohungsakteur, von dem bekannt ist, dass er more_eggs verwendet, ist Evilnum, eine Gruppe, die seit 2018 dafür bekannt ist, Finanztechnologieunternehmen und Aktienhandelsplattformen ins Visier zu nehmen. Evilnum ist auch eine mutmaßliche Söldnergruppe, die Hacker-for-hire-Dienste verkauft. Laut eSentire haben die Evilnum-Angreifer die Mitarbeiter der Unternehmen, auf die sie abzielen, auch mit bösartigen Zip-Anhängen gefüttert, die manchmal die more_eggs-Backdoor enthalten.
Ein dritter Cyberkrimineller, von dem berichtet wurde, dass er more_eggs nutzt, ist die Cobalt Group, auch bekannt als Carbanak. Diese Gruppe hat sich darauf spezialisiert, Geld von Banken und anderen Finanzorganisationen zu stehlen und ist für ihre gründliche Erkundung und Geduld bekannt – die Gruppe kann Monate in den Netzwerken der Opfer verbringen und deren benutzerdefinierte Anwendungen und Arbeitsabläufe analysieren, bevor sie zuschlägt.
Angesichts der Art der Gruppen, die more_eggs verwenden, und ihrer Raffinesse sollte eine Infektion mit dieser Backdoor in einem Netzwerk sehr ernst genommen werden und zu einer umfassenden forensischen Untersuchung führen. Die Angreifer haben sich möglicherweise bereits auf kritische Systeme ausgebreitet und bereiten einen ernsteren Angriff vor oder sind dabei, sensible Informationen zu exfiltrieren.
*Lucian Constantin ist Senior-Autor bei CSO und berichtet über Informationssicherheit, Privatsphäre und Datenschutz.
Be the first to comment