Wie Angreifer Bitbucket zur Verbreitung von Malware nutzen

Cybereason verfolgt eine derzeit laufende Kampagne, um verschiedene Malware bereitzustellen, die in der Lage ist, Daten zu stehlen, nach Krypto-Währung zu suchen und Lösegeld an Opfer in der ganzen Welt zu liefern. [...]

Aufgrund der Vielfalt der bei diesem Angriff eingesetzten Malware-Typen können Angreifer die Opfer von allen Seiten treffen und müssen sich nicht auf das eine oder andere Angriffsziel beschränken. Die in dieser Kampagne beobachteten Nutzlasten stammten von verschiedenen Konten der Code-Repository-Plattform Bitbucket, die als Teil der Lieferinfrastruktur der Angreifer missbraucht wurde.

Die folgende Malware wird mit Hilfe von Bitbucket durch den Urheber der Bedrohung bereitgestellt und aktualisiert:

• Predator: Predator ist ein Informationsdieb, der die Zugangsdaten von Browsern stiehlt, die Kamera zum Fotografieren verwendet, Bildschirmaufnahmen erstellt und Geldbörsen mit Kryptowährungen stiehlt.
• Azorult: Azorult ist ein Informationsdieb, der Passwörter, E-Mail-Anmeldeinformationen, Cookies, den Browser-Verlauf, IDs und Kryptowährungen stiehlt und über Backdoor-Funktionen verfügt.
• Evasive Monero Miner: Der Evasive Monero Miner ist der Dropper für einen mehrstufigen XMRig Miner, der fortschrittliche Ausweichtechniken für das Mining von Monero und zum Unerkanntbleiben verwendet.
• STOP Ransomware: Die STOP Ransomware wird zur Infiltration des Dateisystems verwendet und basiert auf einer Open-Source-Ransomware-Plattform. Es verfügt auch über Downloader-Fähigkeiten, mit denen es das System mit zusätzlicher Malware infizieren kann.
• Vidar: Vidar ist ein Informationsdieb, der Webbrowser-Cookies und -Verlauf, digitale Geldbörsen, Zwei-Faktor-Authentifizierungsdaten stiehlt und Bildschirmaufnahmen erstellt.
• Amadey-Bot: Amadey-Bot ist ein einfacher trojanischer Bot, der in erster Linie zum Sammeln von Aufklärungsinformationen auf einer Zielmaschine verwendet wird.
• IntelRapid: IntelRapid ist ein Kryptowährungsdieb, der verschiedene Arten von Kryptowährungs-Geldbörsen stiehlt.

Die Studie zeigt einen anhaltenden Trend bei Cyberkriminellen auf, die legitime Online-Speicherplattformen wie Github, Dropbox, Google Drive und Bitbucket missbrauchen, um Massen-Malware zu verbreiten.

In diesem Fall missbrauchen die Angreifer die Plattform Bitbucket, indem sie mehrere Benutzerkonten erstellen, die häufig aktualisiert werden. Regelmäßige Aktualisierungen der auf diesen Konten gespeicherten Malware und die Verwendung von Themida als Packer stellen sicher, dass sie von Antiviren-Produkten nicht erkannt werden und Analyseversuche vereiteln können. Sie verwenden ebenfalls den CypherIT Autoit-Packer, um Azorult zu packen und zusätzliche Schutzschichten gegen die Analyse bereitzustellen.

Diese Studie ist besonders interessant, weil die Angreifer einen einzelnen Zielcomputer anvisierten, um ihn mit mehreren verschiedenen Arten von Malware zu infizieren. Diese Art von Malware wird häufig für eine einmalige Infektion verwendet, um Daten auf dem Rechner zu stehlen und sie in Untergrund-Hacker-Communities zu verkaufen. Die Angreifer haben sich jedoch dafür entschieden, auch Malware wie Krypto-Währungs-Miner und Ransomware zu integrieren, was ihnen eine dauerhaftere Einnahmequelle sichert. Jede Malware dieser Kampagne verstärkt den Angriff mit zusätzlichen Fähigkeiten und Funktionen, um diesen wirkungsvoller zu machen.

Schlüsselaspekte

• Missbraucht Plattformen zur gemeinsamen Nutzung von Ressourcen: Das Team von Cybereason-Nocturnus untersucht eine laufende Kampagne, die die Bitbucket-Infrastruktur missbraucht, um eine umfangreiche Sammlung unterschiedlicher Malware zu speichern und zu verbreiten. Die Angreifer geben sich nicht mit einer Nutzlast zufrieden – sie streben nach allem.
• Umfassende Angriffe: Diese Kampagne setzt verschiedene Arten von Malware für einen breit angelegten Angriff auf Unternehmen ein. Sie ist in der Lage, sensible Browserdaten, Cookies, E-Mail-Client-Daten, Systeminformationen und Daten von Zwei-Faktor-Authentifizierungssoftware sowie Krypto-Währung aus digitalen Geldbörsen zu stehlen. Sie kann auch die Kamera nutzen, um Fotos zu schießen, Bildschirmaufnahmen zu erstellen, Monero für das Mining zu nutzen und in verschiedenen Fällen Ransomware einzusetzen.
• Weitreichend: Diese laufende Kampagne hat bisher weltweit über 500.000 Rechner infiziert.
• Modular und ständig aktualisiert: Die Angreifer nutzen Bitbucket, um Nutzlasten einfach zu aktualisieren und viele verschiedene Arten von Malware auf einmal zu verbreiten. Um der Entdeckung zu entgehen, verfügen sie über eine Reihe von Benutzerprofilen und aktualisieren ihre Repositiories kontinuierlich, manchmal sogar stündlich.
• Viele Arten von Malware: Die Angreifer verwenden den Evasive Monero Miner, um eine Kombination aus Daten zu stehlen, Kryptowährung zu minen und andere Malware einzusetzen, darunter den Vidar Stealer, Amadey Bot und IntelRapid. Außerdem setzen sie im Laufe ihrer Aktivitäten Predator the Thief, Azorult und die STOP Ransomware ein.
• Verheerende Auswirkungen: Die Kombination von derartig verschiedenen Arten von Malware, die so viele verschiedene Arten von Daten ausfiltert, kann Unternehmen handlungsunfähig machen. Diese Bedrohung ist in der Lage, die Systemsicherheit zu gefährden, die Privatsphäre der Benutzer zu verletzen, die Leistung von Maschinen zu beeinträchtigen und Einzelpersonen und Unternehmen großen Schaden zuzufügen, indem sensible Informationen gestohlen und verbreitet werden, bevor diese mit Ransomware infiziert werden.