Mimecast Logo
Angebot einholen

    Verstoß gegen das Urheberrecht

    12. Februar 2025

    Von Samantha Clarke, Hiwot Mendahun und dem Mimecast Threat Research Team

    Wichtige Punkte

    Was Sie in dieser Meldung erfahren werden

    • Zielgruppen sind der Einzelhandel, die Reisebranche und das Gastgewerbe, vor allem im Vereinigten Königreich und in den USA.
    • Kontinuierlicher Anstieg des Verkehrsaufkommens ab August 2024 bis Ende des Jahres
    • Der Hauptzweck besteht darin, einen Infostealer bereitzustellen, der sensible Daten exfiltriert.

    Kampagnenablauf

    Copyright-Verletzung-Flow.jpg

    Die Bedrohungsforscher von Mimecast haben eine Infostealer-Kampagne beobachtet und untersucht, die es auf verschiedene Organisationen abgesehen hat, insbesondere auf den Einzelhandel, die Reisebranche und das Gastgewerbe. Bei der Kampagne geben sich Bedrohungsakteure als bekannte Anwaltskanzleien aus, die Unternehmen wegen einer Urheberrechtsverletzung kontaktieren, um die Opfer zum Herunterladen bösartiger Dateien von Dropbox zu verleiten. Die bösartigen Dateien versuchen, malware in Form von verschiedenen InfoStealern zu übermitteln.

    Copyright-Verletzung-1.png

    Die Verteilung erfolgt über Mail Merge, einen Dienst, der die Verteilung personalisierter Massen-E-Mail-Kampagnen ermöglicht, indem empfängerspezifische Daten in Vorlagen integriert werden. Bedrohungsakteure nutzen kostenlose Testkonten von Mail Merge in Verbindung mit Google Mail, um groß angelegte E-Mail-Kampagnen zu organisieren und zu verbreiten. Indem sie legitime Plattformen missbrauchen, umgehen sie bestimmte DNS-Authentifizierungen und stellen so die erfolgreiche Zustellung ihrer bösartigen Kampagnen sicher.

    Sobald der Benutzer die Dateien heruntergeladen hat, verwendet die ausführbare Datei, wenn sie ausgeführt wird, ein GitHub-Repositorium, das LoneNone1807 gehört und mehrere malware -Dateien enthält. Das Repository enthält eine aktuelle Kampagne, die mit einer stark verschleierten Batch-Datei beginnt, die, wenn sie ausgeführt wird, zwei Arten von malware herunterlädt und installiert: XWorm und RedLine. XWorm ist ein Fernzugriffstrojaner (RAT), der es Angreifern ermöglicht, infizierte Systeme zu kontrollieren, während RedLine ein Informationsdieb ist, der sensible Daten von Opfern ausspäht. Die Website malware nutzt fortschrittliche Verschleierungstechniken, indem sie hochgradig verschlüsselte Batch-Skripte mit verschachtelten Befehlen und dynamisch generierten Nutzdaten verwendet, um herkömmliche Erkennungsmechanismen zu umgehen.

    Mimecast beobachtete einen stetigen Strom von Kampagnen, die zunächst im Juli begannen, dann aber um den August herum zunahmen, wobei der größte Anstieg bei dieser Kampagne im Dezember zu verzeichnen war.

    Copyright-Verletzung-2.png

    Es wurden mehrere Analysen zu malware durchgeführt, die auf dem GitHub-Konto von LoneNone1807 gefunden wurden, darunter eine aktuelle malware -Kampagne, die mit einer stark verschleierten Batch-Datei beginnt. Alle Einzelheiten zu den Fähigkeiten von malwarekönnen bei SANS research nachgelesen werden.

    Taktik, Techniken und Verfahren:

    T1566.002: Phishing - Speer Phishing Link
    T1102.001: Webdienst - Dead Drop Resolver
    T1071: Protokoll der Anwendungsschicht (Befehl und Kontrolle)
    T1574.002: Hijack-Ausführungsablauf - Hijacking von DLL-Suchaufträgen
    T1562.001: Verteidigung beeinträchtigen - Tools deaktivieren oder modifizieren
    T1497: Virtualisierung/Sandbox-Umgehung
    T1056: Eingabeerfassung
    T1010: Entdeckung von Anwendungsfenstern
    T1082: Erkennung von Systeminformationen


    Mimecast-Schutz

    Wir haben in den Kampagnen mehrere Attribute identifiziert, die unsere Erkennungsmöglichkeiten erweitert haben.

    Zielsetzung:

    Vereinigtes Königreich und USA, vor allem Einzelhandel, Reise- und Gastgewerbe

    IOCs:

    Datei-Hashes:

    • 8c6eaefb476c4b2679fb4f08e92f6e98a90cb941afb5c1fcd1fe651e3c47ca68
    • 27d78d9a5f40932da3305ba4ca0494076a539a8a648a8c8e36ee4c35bc76bb00
    • bc056f72454c34de86bdda578a0e67663470119dcc230aca2e692bab4ac64f9c
    • 02dad6cacc5ff17cc7dea8565e4eb7091e146822e5d2505c373889fc476a26f2
    • 71f502cc7b65f6c436582d8c31986e30bdc5d94ba84957a10259b0b4a6bd3459
    • 5b690097611a0529584d759df8a7f472acf7448aeeab046ae01d8dbe21349dcc
    • ae3ff323a5ae34175a4101589c6394c1aed17adf39137e582f96c15f122673a0
    • 1da0b740d3466c1fd55ede1728c5a3783b003c0511a16668061dbf8080cfb002
    • 0ca5044d7ae4946054b9223c835bd347df3752aab2a3126bb81dd8c4f7df2747
    • 64e0bfcc0b531f623adea6d888bd58450002474c7cd90c5c2c385d7eae2449eb
    • 0973047957a83c19ddad2638b46eb6a2bc2659366dbcec69583d2fc4c9473f85
    • 92dab0afa2c6488bf5a069bfcd5d18094145e5551d8d996cb01d3d3765bd5b00

    Empfehlungen

    • Vergewissern Sie sich, dass Sie eine Attachment Protect Richtlinie haben und dass die URL Protect Richtlinie zum Schutz des Unternehmens festgelegt ist.
    • Durchsuchen Sie Ihre E-Mail-Empfangsprotokolle, um festzustellen, ob Hashes von Dateien an Ihre Benutzer übermittelt wurden.
    • Aufklärung der Endbenutzer über den anhaltenden Trend, dass legitime Tools für bösartige Kampagnen verwendet werden.
    Zurück zum Anfang