Cybercrime-Gangs nutzen gefälschte Jobangebote, um Backdoor einzusetzen

Es wird vermutet, dass die kriminelle Gruppe "Golden Chickens" ihre more_eggs-Backdoor für Spear-Phishing-Kampagnen verkauft. [...]

Die Golden Chickens scheinen nur eine ausgewählte Gruppe von hochkarätigen Angreifern zu bedienen (c) pixabay.com

Eine Gruppe von Kriminellen, die hinter einer getarnten Backdoor namens more_eggs steckt, zielt auf Berufstätige mit gefälschten Jobangeboten ab, die auf der Grundlage von Informationen aus deren LinkedIn-Profilen auf sie zugeschnitten sind.

Die Bande verkauft den Zugang zu Systemen, die mit der Backdoor infiziert sind, an andere raffinierte Cybercrime-Gruppen wie FIN6, Evilnum und Cobalt Group, die bekanntermaßen Unternehmen aus verschiedenen Branchen ins Visier nehmen.

Spearfishing mit LinkedIn-Informationen

Bei einem Angriff, der kürzlich von Forschern des Managed Detection and Response-Unternehmens eSentire entdeckt wurde, zielten die Hacker mit einer Phishing-E-Mail, die ein Jobangebot für eine Position vortäuschte, die identisch mit der war, die die Zielperson auf ihrer LinkedIn-Profilseite angegeben hatte, auf eine Fachkraft ab, die in der Gesundheitstechnologiebranche arbeitet. Dies scheint eine Technik zu sein, die diese Gruppe, die in der Sicherheitsbranche als „Golden Chickens“ bekannt ist, auch in der Vergangenheit verwendet hat.

Die betrügerischen E-Mails enthalten eine Zip-Datei, die nach der Jobposition benannt ist, die in der E-Mail angeboten wird. Wird sie geöffnet, startet sie eine bösartige Komponente namens VenomLNK, die als erste Stufe der more_eggs-Infektion dient.

„Golden Chickens verkaufen die Backdoor im Rahmen eines Malware-as-a-Service (MaaS)-Arrangements an andere Cyberkriminelle“, so das Forschungsteam von eSentire in seinem Bericht. „Sobald more_eggs auf dem Computersystem des Opfers ist, können die Kunden von Golden Eggs eindringen und das System mit jeder Art von Malware infizieren: Ransomware, Credential Stealers, Banking-Malware, oder einfach die Backdoor als Einfallstor in das Netzwerk des Opfers nutzen, um Daten zu exfiltrieren.“

Die Infektionskette

Sobald VenomLNK auf dem Computer eines Opfers ausgeführt wird, verwendet es Windows Management Instrumentation (WMI), ein Subsystem von PowerShell, um die zweite Stufe des Angriffs zu implementieren: einen Malware-Loader namens TerraLoader.

TerraLoader entführt zwei legitime Windows-Prozesse, cmstp und regsvr32, um die endgültige Nutzlast namens TerraPreter zu laden, die von Servern heruntergeladen wird, die auf Amazon AWS gehostet werden, um mögliche Netzwerkfilter zu umgehen, und die als ActiveX-Steuerelement bereitgestellt wird. ActiveX ist ein Framework, das die Ausführung von Code über den Internet Explorer ermöglicht und nativ von Windows unterstützt wird.

TerraLoader legt auch ein Microsoft Word-Dokument ab und öffnet es, das so gestaltet ist, dass es wie eine legitime Bewerbung aussieht. Dies dient nur als Köder, damit der Benutzer nach dem Öffnen des E-Mail-Anhangs keinen Verdacht schöpft.

Die TerraPreter-Nutzlast signalisiert dem Command-and-Control-Server der Angreifer, dass sie eingesetzt wurde und bereit ist, Befehle zu empfangen. Die Angreifer können dann damit direkten Zugriff auf den Computer des Opfers erlangen und Plugins oder zusätzliche Malware-Payloads installieren.

„More_eggs behält ein unauffälliges Profil bei, indem es legitime Windows-Prozesse missbraucht und diese über Skriptdateien mit Prozessanweisungen füttert“, so die eSentire-Forscher. „Darüber hinaus scheinen die Kampagnen, die das MaaS-Angebot nutzen, im Vergleich zu typischen Malspam-Verteilungsnetzwerken spärlich und selektiv zu sein.“

Golden Chickens‘ mächtige Kunden

Die Golden Chickens scheinen nur eine ausgewählte Gruppe von hochkarätigen Angreifern zu bedienen. Einer ihrer Kunden ist wahrscheinlich FIN6, eine berüchtigte Finanz-Cybercrime-Gruppe, die mindestens seit 2014 existiert. Diese Gruppe ist dafür bekannt, physische Point-of-Sale-Systeme und in jüngerer Zeit auch Online-Zahlungssysteme ins Visier zu nehmen, um Kartendaten zu stehlen und auf dem Untergrundmarkt zu verkaufen.

FIN6 hat im Laufe der Jahre Unternehmen aus dem Einzelhandel, dem Gastgewerbe und der Gastronomie angegriffen und wurde 2019 bei Angriffen auf E-Commerce-Unternehmen mit der more_eggs-Hintertür gesehen. In einer separaten Kampagne aus dem Jahr 2019, die auf multinationale Unternehmen abzielte, verwendete FIN6 denselben Phishing-Köder, der auf gefälschte Jobangebote setzte, um Mitarbeiter anzusprechen.

Ein weiterer Bedrohungsakteur, von dem bekannt ist, dass er more_eggs verwendet, ist Evilnum, eine Gruppe, die seit 2018 dafür bekannt ist, Finanztechnologieunternehmen und Aktienhandelsplattformen ins Visier zu nehmen. Evilnum ist auch eine mutmaßliche Söldnergruppe, die Hacker-for-hire-Dienste verkauft. Laut eSentire haben die Evilnum-Angreifer die Mitarbeiter der Unternehmen, auf die sie abzielen, auch mit bösartigen Zip-Anhängen gefüttert, die manchmal die more_eggs-Backdoor enthalten.

Ein dritter Cyberkrimineller, von dem berichtet wurde, dass er more_eggs nutzt, ist die Cobalt Group, auch bekannt als Carbanak. Diese Gruppe hat sich darauf spezialisiert, Geld von Banken und anderen Finanzorganisationen zu stehlen und ist für ihre gründliche Erkundung und Geduld bekannt – die Gruppe kann Monate in den Netzwerken der Opfer verbringen und deren benutzerdefinierte Anwendungen und Arbeitsabläufe analysieren, bevor sie zuschlägt.

Angesichts der Art der Gruppen, die more_eggs verwenden, und ihrer Raffinesse sollte eine Infektion mit dieser Backdoor in einem Netzwerk sehr ernst genommen werden und zu einer umfassenden forensischen Untersuchung führen. Die Angreifer haben sich möglicherweise bereits auf kritische Systeme ausgebreitet und bereiten einen ernsteren Angriff vor oder sind dabei, sensible Informationen zu exfiltrieren.

*Lucian Constantin ist Senior-Autor bei CSO und berichtet über Informationssicherheit, Privatsphäre und Datenschutz.


Mehr Artikel

Raiffeisen Bank International etabliert internationales FinTech-Scout-Netzwerk. (c) Unsplash
News

RBI setzt auf globale FinTech-Scouts

Die Raiffeisen Bank International (RBI) verstärkt ihre Bemühungen im Bereich Finanzinnovationen durch die Etablierung eines global verteilten Teams von FinTech-Scouts. Diese Experten sollen Marktentwicklungen und neue Geschäftsmodelle aufzeigen sowie direkten Zugang zu relevanten Technologieanbietern weltweit ermöglichen. […]

News

Hightech-Crime-Report: Advanced Persistent Threats setzen Europa unter Druck

Mit einem Anstieg von 22 Prozent gegenüber dem Vorjahr nahmen betrügerische Machenschaften 2024 weltweit zu. Europäische Finanzdienstleister waren mit 34 Prozent aller Betrugsfälle am stärksten betroffen, gefolgt von der Transportbranche und dem Regierungs- und Militärsektor. Auch bei Phishing-Angriffen setzte sich der Aufwärtstrend fort: Mehr als 80.000 Phishing-Websites wurden 2024 enttarnt – ein Anstieg um 22 Prozent gegenüber dem Vorjahr. […]

News

Fünf Mythen über Managed Services 

Managed Services sind ein Erfolgsmodell. Trotzdem existieren nach wie vor einige Vorbehalte gegenüber externen IT-Services. Der IT-Dienstleister CGI beschreibt die fünf hartnäckigsten Mythen und erklärt, warum diese längst überholt sind. […]

News

ESET: MDR-Lösungen für Managed Service Provider

ESET erweitert sein Angebot für seine Managed Service Provider (MSP) und Channel-Partner, um sie angesichts der zunehmend komplexen Bedrohungslandschaft gezielt zu unterstützen. Die neuesten Ergänzungen umfassen den Service „ESET MDR für MSPs“, eine erweiterte KI-gestützte Bedrohungsanalyse durch den ESET AI Advisor sowie flexible Preismodelle für MSP. […]

News

Geniale Handy-Tricks

Smartphones haben etliche Funktionen, die kaum jemand nutzt, aber Ihren digitalen Alltag bereichern können. Wir stellen Ihnen eine Auswahl der besten Geheimtipps vor – sowohl für Android-Smartphones als auch für Apples iPhones. […]

Die Kombination aus interner Mobilität und Ressourcenbeschränkungen führt schnell zu einem Wildwuchs bei den vergebenen Privilegien. (c) Unsplash
Kommentar

6 Wege, wie Privilege Management die Sicherheitslage verbessert

Identitäten, Konten, Computer, Gruppen und andere Objekte benötigen gleichermaßen Zugang zu Ressourcen – limitiert auf die jeweilige Rolle und nur solange der Zugriff tatsächlich gebraucht wird. Dies ist ein grundlegender Bestandteil eines Zero Trust Least Privilege-Modelles und als solcher von AD-Administratoren, IT-Leitern, dem höheren Management und CISOs anerkannt. […]

David Blum, Defense & Security Lead bei Accenture, im Gespräch mit der ITWELT.at. (c) timeline / Rudi Handl
Interview

„Ein resilientes Unternehmen zeichnet sich durch größtmögliche Transparenz aus“

Transparenz, soweit im Sicherheitskontext möglich, ist für David Blum, Defense & Security Lead bei Accenture, ein wichtiger Bestandteil von Unternehmensresilienz. Das fördere die aus dem Verständnis folgende Unterstützung der Mitarbeitenden. Die unternehmerische Resilienz müsse nicht nur technisch, sondern auch kulturell verankert werden: „Denn Resilienz beginnt im Kopf jedes Einzelnen“, sagt Blum im Gespräch mit der ITWELT.at. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*