Angreifer aus dem Black-Basta-Umfeld droppen SystemBC-Malware
Eine aktuelle Social-Engineering-Kampagne, die angeblich mit der Black-Basta-Ransomware-Gruppe verbunden ist, hat zu mehreren Angriffsversuchen geführt. Dabei sollen Anmeldeinformationen gestohlen und ein Malware-Dropper namens SystemBC bereitgestellt werden.
„Der anfängliche Köder, den die Bedrohungsakteure verwenden, bleibt derselbe: eine E-Mail-Bombe – gefolgt von einem Anrufversuch bei den betroffenen Nutzern, um eine gefälschte Lösung anzubieten“, erklärt Rapid7. „Externe Anrufe wurden typischerweise über Microsoft Teams an die betroffenen Nutzer gerichtet.“ In der Angriffskette wird der Nutzer dann überzeugt, eine legitime Fernzugriffssoftware namens AnyDesk herunterzuladen und zu installieren, die als Kanal für die Bereitstellung weiterer Schadsoftware und die Exfiltration sensibler Daten dient. Dazu gehört die Verwendung einer ausführbaren Datei namens „AntiSpam.exe“, die angeblich E-Mail-Spamfilter herunterlädt und die Nutzer auffordert, ihre Windows-Anmeldedaten einzugeben, um das Update abzuschließen.
Im nächsten Schritt werden mehrere Binärdateien, DLL-Dateien und PowerShell-Skripte ausgeführt, darunter ein Golang-basierter HTTP-Beacon, der Kontakt zu einem entfernten Server herstellt, ein SOCKS-Proxy und SystemBC. Um das Risiko durch diese Bedrohung zu mindern, wird empfohlen, alle nicht genehmigten Fernzugriffslösungen zu blockieren und auf verdächtige Anrufe und Nachrichten, die angeblich von der internen IT-Abteilung stammen, zu achten.
Die Offenlegung der Angriffsmasche erfolgt zu einer Zeit, in der SocGholish (auch bekannt als FakeUpdates), GootLoader und Raspberry Robin als die am häufigsten beobachteten Loader-Varianten im Jahr 2024 aufgetreten sind, die dann als Sprungbrett für Ransomware dienen, so Analysen von ReliaQuest. „GootLoader ist in diesem Jahr neu in die Top-3-Liste aufgenommen worden und ersetzt QakBot, dessen Aktivität zurückgeht“, wie das Cybersicherheitsunternehmen konstatiert. „Malware-Loader werden oft in Dark-Web-Foren wie XSS und Exploit beworben. Cyberkriminelle nutzen diese, um Netzwerke zu hacken und Schadsoftware zu verbreiten. Diese Loader werden häufig im Abonnementmodell verkauft, das monatliche Gebühren für regelmäßige Updates, Support und neue Funktionen zur Umgehung von Sicherheitsmaßnahmen beinhaltet.“
Ein Vorteil dieses abonnementsbasierten Ansatzes ist, dass er es auch Bedrohungsakteuren mit begrenzter technischer Expertise ermöglicht, anspruchsvolle Angriffe durchzuführen.
Bei Phishing-Angriffen wurde auch beobachtet, dass eine Informationsdiebstahl-Malware namens 0bj3ctivity Stealer über einen weiteren Loader namens Ande Loader verteilt wird. Dies ist Teil eines mehrschichtigen Verteilungsmechanismus. „Die Verteilung der Malware durch verschleierte und verschlüsselte Skripte, Speicherinjektionstechniken und die ständige Verbesserung des Ande Loaders mit Funktionen wie Anti-Debugging und String-Verschleierung zeigen die Notwendigkeit fortschrittlicher Erkennungsmethoden und kontinuierlicher Forschung,“ so eSentire.
Diese Kampagnen sind nur die neuesten in einer Reihe von Phishing- und Social-Engineering-Angriffen, die in den letzten Wochen aufgedeckt wurden. Gleichzeitig setzen Bedrohungsakteure zunehmend gefälschte QR-Codes für böswillige Zwecke ein:
- Eine ClearFake-Kampagne, die kompromittierte Webseiten nutzt, um .NET-Malware unter dem Vorwand eines Google Chrome-Updates zu verbreiten.
- Ein Phishing-Angriff, der jobbezogene Köder verwendet, um AsyncRAT, Pure HVNC, XWorm und Venom RAT über einen Python-Shellcode-Loader auszuliefern.
- Eine Kampagne, die gefälschte Webseiten verwendet, die sich als HSBC, Santander, Virgin Money und Wise ausgeben, um die AnyDesk Remote Monitoring and Management (RMM) Software an Windows- und macOS-Nutzer zu verteilen, die dann genutzt wird, um sensible Daten zu stehlen.
- Eine gefälschte Website („win-rar[.]co“), die scheinbar WinRAR verteilt, tatsächlich aber Ransomware, einen Kryptowährungs-Miner und einen Information Stealer namens Kematian Stealer, die auf GitHub gehostet werden, bereitstellt.
- Drive-by-Download-Kampagnen, die bösartige Anzeigen oder kompromittierte Webseiten nutzen, um NetSupport RAT zu verbreiten.
- Eine Social-Media-Malvertising-Kampagne, die Facebook-Seiten kapert, um über bezahlte Anzeigen eine scheinbar legitime Website für einen künstlichen Intelligenz (KI) Foto-Editor zu bewerben, die Opfer dazu verleitet, ITarians RMM-Tool herunterzuladen, das dann genutzt wird, um Lumma Stealer zu verbreiten.
„Das gezielte Angreifen von Social-Media-Nutzern für böswillige Aktivitäten unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen zum Schutz von Kontozugangsdaten und zur Verhinderung unbefugten Zugriffs“, mahnen Experten von Trend Micro.