Ukraine von mehrstufigem Malware-Angriff betroffen
Ein neuer Cyberangriff startet mit einem MS Excel-Makro, um Cobalt Strike auf Endpunkte in der Ukraine zu spielen. Damit soll die Kontrolle über die angegriffenen Hosts übernommen werden.
Laut Fortinet FortiGuard Labs beginnt die Angriffskette mit einer Microsoft Excel-Datei, die ein eingebettetes VBA-Makro enthält, um die Infektion zu starten. Der Angreifer nutzt eine mehrstufige Malware-Strategie, um die Cobalt-Strike-Nutzlast zu übermitteln und eine Verbindung zu einem Command-and-Control-Server herzustellen, so die Sicherheitsexpertin Cara Lin in einem aktuellen Bericht. Dabei kommen verschiedene Techniken zum Einsatz, um die erfolgreiche Übermittlung der Nutzlast sicherzustellen.
Cobalt Strike, entwickelt von Fortra, ist eigentlich ein Tool für Sicherheitstests, wird aber oft von Cyberkriminellen für bösartige Zwecke verwendet.
Der Angriff beginnt mit einem Excel-Dokument, das Inhalte in ukrainischer Sprache zeigt und das Opfer auffordert, „Inhalte zu aktivieren“, um Makros zu aktivieren. Seit Juli 2022 blockiert Microsoft Makros in Office-Dokumenten standardmäßig. Wenn Makros aktiviert werden, zeigt das Dokument angeblich Informationen über militärische Finanzierung, während im Hintergrund ein HEX-kodiertes Makro einen DLL-Downloader über das Dienstprogramm Registerserver (regsvr32) ausführt.
Der verschleierte Downloader überwacht laufende Prozesse und beendet sich sofort, wenn er Programme wie Avast Antivirus oder Process Hacker entdeckt.
Wenn kein solcher Prozess gefunden wird, verbindet sich der Downloader mit einem entfernten Server, um die verschlüsselte Nutzlast der nächsten Stufe herunterzuladen, allerdings nur, wenn sich das Gerät in der Ukraine befindet. Die entschlüsselte Datei ist eine DLL, die eine weitere DLL-Datei startet. Diese zweite DLL ist ein Injektor, der die finale Malware extrahiert und ausführt.
Der Angriff endet mit dem Einsatz eines Cobalt Strike Beacons, der Kontakt mit einem C2-Server („simonandschuster[.]shop“) aufnimmt.
Laut Lin versucht der Angreifer durch standortbasierte Überprüfungen während des Downloads verdächtige Aktivitäten zu verschleiern und so einer Entdeckung durch Analysten zu entgehen. Verschlüsselte Zeichenfolgen im VBA-Code verbergen wichtige Importzeichenfolgen, was die Bereitstellung der DLL-Dateien erleichtert.
Zusätzlich unterstützt die Selbstlöschungsfunktion die Umgehung von Sicherheitsmechanismen. Der DLL-Injektor verwendet Verzögerungstaktiken und beendet übergeordnete Prozesse, um Sandboxing und Anti-Debugging-Methoden auszutricksen.