Mit <kes>+ lesen

Unternehmensspionage über das Windows PCA-Tool

Die russischsprachige Cybercrime-Gruppe RedCurl hat sich auf den Programmkompatibilitätsassistenten (PCA) von Microsoft Windows eingeschossen. Sie nutzt die legitime Windows-Komponente, um bösartige Befehle auszuführen.

Lesezeit 2 Min.

Der Windows-Dienst „Program Compatibility Assistant“ (pcalua.exe) soll Probleme mit der Kompatibilität älterer Programme erkennen und beheben. Laut einer Trend Micro Analyse von diesem Monat können jedoch Angreifer dieses Dienstprogramm ausnutzen, um Befehle auszuführen und Sicherheitsmaßnahmen zu umgehen, indem sie es als alternativen Befehlszeileninterpreter verwenden. In der aktuellen Analyse nutzte der Angreifer dieses Tool, um seine Aktivitäten zu verschleiern.

RedCurl, auch bekannt als Earth Kapre und Red Wolf, ist seit mindestens 2018 aktiv und hat bereits Unternehmen in Australien, Kanada, Deutschland, Russland, Slowenien, Großbritannien, der Ukraine und den USA angegriffen, um Spionage zu betreiben.

Im Juli 2023 enthüllte F.A.C.C.T., dass eine große russische Bank und ein australisches Unternehmen im November 2022 und Mai 2023 angegriffen wurden. Der Zweck des Angriffs war es, vertrauliche Unternehmensgeheimnisse und Mitarbeiterinformationen zu stehlen.

Trend Micro hat eine Angriffskette untersucht, die Phishing-E-Mails mit schädlichen Anhängen (.ISO- und .IMG-Dateien) verwendet, um einen komplexen Prozess auszulösen. Der Prozess beginnt mit der Ausführung von cmd.exe, um ein legales Programm namens curl von einem entfernten Server herunterzuladen. Dieses Programm wird dann als Kanal verwendet, um einen Loader (ms.dll oder ps.dll) zu installieren.

Die schädliche DLL-Datei nutzt anschließend den Program Compatibility Assistant, um einen Downloader-Prozess zu starten, der eine Verbindung mit der gleichen Domain herstellt, die von curl zum Herunterladen des Loaders verwendet wurde.

Zusätzlich wird die Open-Source-Software Impacket verwendet, um nicht autorisierte Befehle auszuführen.

Die Verbindungen zu Earth Kapre zeigen sich durch Ähnlichkeiten in der Command-and-Control (C2)-Infrastruktur und bekannten Downloader-Elementen, die von der Gruppe verwendet werden.

Nach diesen Beobachtungen warnt Trend Micro betont, dass Earth Kapre weiterhin aktiv und bedrohlich ist und verschiedene Branchen in mehreren Ländern angreift. Die Gruppe nutzt raffinierte Methoden wie den Missbrauch von PowerShell, curl und dem Program Compatibility Assistant, um schädliche Befehle auszuführen. Dadurch versucht sie, einer Erkennung in den Zielnetzwerken zu umgehen.

Gleichzeitig hat die russische Gruppe Turla (auch bekannt als Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos, Venomous Bear und Waterbug) begonnen, eine neue Wrapper-DLL namens Pelmeni einzusetzen, um die .NET-basierte Kazuar-Backdoor zu implementieren.

Pelmeni tarnt sich als Bibliothek von SkyTel, NVIDIA GeForce Experience, vncutil oder ASUS und wird über DLL-Side-Loading geladen. Sobald diese gefälschte DLL von der legitimen Software auf dem Rechner aufgerufen wird, startet sie Kazuar und führt seine schädlichen Aktivitäten aus, wie von Lab52 berichtet.

Diesen Beitrag teilen: