Discord: Ein Spielplatz für nationalstaatliche Hacker
Bei der Nutzung legitimer Infrastrukturen durch Bedrohungsakteure zeichnen sich bedrohliche Entwicklungen ab: Aktuelle Erkenntnisse zeigen, dass nationalstaatliche Hackergruppen in den Kampf gezogen sind, um soziale Plattformen für Angriffe auf kritische Infrastrukturen zu missbrauchen.
Discord hat sich in den letzten Jahren zu einem lukrativen Ziel für nationalstaatliche Hackergruppen entwickelt, da es über sein Content Delivery Network (CDN) einen fruchtbaren Boden für das Hosten von Malware bietet und es Informationsdieben ermöglicht, sensible Daten aus der App abzuschöpfen und die Datenexfiltration über Webhooks zu erleichtern. „Die Nutzung von Discord ist bislang größtenteils auf Informationsdiebe und Grabber beschränkt, die jeder kaufen oder aus dem Internet herunterladen kann“, so Trellix-Forscher in einem kürzlichen Bericht.
Aber das könnte sich ändern, denn das Cybersicherheitsunternehmen gab an, Beweise für ein Artefakt gefunden zu haben, das auf kritische ukrainische Infrastrukturen abzielt. Derzeit gibt es keine Beweise, die es mit einer bekannten Bedrohungsgruppe in Verbindung bringen. „Das potenzielle Auftauchen von APT-Malware-Kampagnen, welche die Funktionen von Discord ausnutzen, stellt eine neue Ebene der Komplexität in der Bedrohungslandschaft dar“, so die Forscher.
Bei dem Beispiel handelt es sich um eine Microsoft OneNote-Datei, die über eine E-Mail-Nachricht verbreitet wurde, die sich als die gemeinnützige Organisation dobro.ua ausgab. Sobald die Datei geöffnet wird, zeigt sie Verweise auf ukrainische Soldaten, um die Empfänger zu Spenden zu verleiten. Dazu sollen sie auf eine mit einer Sprengfalle versehene Schaltfläche klicken. Dies stößt die Ausführung eines Visual Basic Script (VBS) an, das ein PowerShell-Skript extrahiert und ausführt, um ein weiteres PowerShell-Skript aus einem GitHub-Repository herunterzuladen. In der letzten Phase nutzt PowerShell seinerseits einen Discord-Webhook, um System-Metadaten zu exfiltrieren.
„Die Tatsache, dass das einzige Ziel am Ende darin besteht, Informationen über das System zu erhalten, deutet darauf hin, dass sich die Kampagne noch in einem frühen Stadium befindet. Das passt auch zur Verwendung von Discord als Command-and-Control-Instrument“, so die Forscher. „Es ist jedoch wichtig im Auge zu behalten, dass der Akteur in Zukunft eine ausgefeiltere Malware auf die kompromittierten Systeme bringen könnte, indem er die im GitHub-Repository gespeicherte Datei modifiziert.“
Die Analyse von Trellix ergab außerdem, dass Loader wie SmokeLoader, PrivateLoader und GuLoader zu den häufigsten Malware-Familien gehören, die das CDN von Discord nutzen, um die nächste Stufe der Nutzlast herunterzuladen, darunter Stealer wie RedLine, Vidar, Agent Tesla und Umbral. Darüber hinaus sind Mercurial Grabber, Stealerium, Typhon Stealer und Venom RAT einige der häufigsten Malware-Familien, die mit Discord-Webhooks beobachtet wurden.
„Der Missbrauch des CDN von Discord als Verteilungsmechanismus für zusätzliche Malware-Nutzlasten zeigt, wie anpassungsfähig Cyberkriminelle sind, um kollaborative Anwendungen zu ihrem Vorteil auszunutzen“, so die Forscher. „APTs sind für ihre ausgeklügelten und gezielten Angriffe bekannt, und wenn sie weit verbreitete Kommunikationsplattformen wie Discord infiltrieren, können sie effizient und langfristig in Netzwerken Fuß fassen und so kritische Infrastrukturen und sensible Daten gefährden.“