Microsoft gibt Warnung für neue RAT-Targeting-Branchen aus

Microsoft Security Intelligence veröffentlichte eine Reihe von Tweets, die vor der Verbreitung einer neuen Art von Malware warnen, die auf die Luft- und Raumfahrtindustrie sowie die Reisebranche abzielt. Die betreffende Malware wurde RevengeRAT genannt.

Ein RAT- oder RAS-Trojaner ist eine Art von Malware, mit der schlechte Akteure eine beträchtliche Kontrolle über ein infiziertes System oder Netzwerk erlangen können. RATs enthalten normalerweise eine Backdoor-Komponente, mit der Hacker Befehle senden und Code auf dem Opfersystem ausführen können, während sie so lange wie möglich unentdeckt bleiben.

Das neue RevengeRAT, auch AsyncRAT genannt, wird hauptsächlich über Spear-Phishing-E-Mails verbreitet. Spear-Phishing ist die Methode zum Senden bösartiger E-Mails, bei der die E-Mails so maskiert werden, als ob sie von einer vertrauenswürdigen Quelle gesendet wurden, normalerweise von jemandem, den der Empfänger bereits kennt und dem er vertraut.

Im Gegensatz zu normalem Phishing, bei dem E-Mails in Massen-Spam-Kampagnen gesendet werden, ist Spear-Phishing eher ein engerer Ansatz, der sich auf ein bestimmtes Unternehmen, eine bestimmte Organisation oder eine bestimmte Entität konzentriert.

Die böswilligen E-Mails, die RevengeRAT verbreiten, haben einen Anhang, der sich als Adobe PDF-Datei tarnt, während es sich in Wirklichkeit um eine Visual Basic-Datei handelt, die mit bösartigen Skripten beladen ist. Sobald das Skript ausgeführt wurde, stellt es die RAT-Nutzdaten bereit. Die schädliche Datei in der angehängten Datei missbraucht normalerweise legitime Webdienste und enthält einen Link zur Visual Basic-Skriptdatei.

Das in den Tweets von Microsoft zitierte Sicherheitsunternehmen Morphisec nannte den bei der Bereitstellung von RevengeRAT verwendeten Loader "Snip3". Eine merkwürdige Tatsache über den Loader ist, dass er die Bereitstellung der RAS-Trojaner-Komponente vollständig überspringt, wenn er feststellt, dass sie in einer Windows-Sandbox oder einer anderen Umgebung einer virtuellen Maschine ausgeführt wird, die als Sandbox zum Auffangen von Malware verwendet werden kann.

Der RevengeRAT bietet die Möglichkeit, Anmeldeinformationen zu filtern, Screenshots aufzunehmen, auf Webcams zuzugreifen und in den Inhalt der Zwischenablage zu blicken.

Sobald die RAT auf dem System des Opfers bereitgestellt wurde, kontaktiert sie den Befehls- und Kontrollserver über eine dynamische Hosting-Site und missbraucht dann PowerShell- und dateifreie Methoden, um drei weitere Nutzdaten von öffentlich zugänglichen Links auf Sites wie Pastebin abzurufen und bereitzustellen.

Die Schlüsselwörter und Blickwinkel, die in den Spear-Phishing-E-Mails verwendet werden, die von den schlechten Akteuren verwendet werden, die die aktuellen RevengeRAT-Kampagnen durchführen, sind laut Microsoft alle auf Mitarbeiter in den Bereichen Reisen und Luft- und Raumfahrt ausgerichtet.

In den Tweets wurde ferner darauf hingewiesen, dass Microsoft Defender die einzelnen Komponenten dieser Malware erkennen und in jeder Phase des Angriffs reagieren kann.

May 13, 2021

Antworten