Top Categories

Spotlight

Discord

todayoktober 24, 2019

Cybercrime Envicom

Discord veranderde in een Info Stealing achterdeur van Nieuw Malware

Een nieuwe malware richt zich op Discord Gebruikers door de Windows Discord Cliënt zo te wijzigen dat deze wordt omgezet in een achterdeur en een trojan voor het stelen van informatie. De Windows Discord Cliënt is een Electron Toepassing, wat betekent dat bijna alle functionaliteit is afgeleid van HTML, CSS en JavaScript. Hiermee kan malware zijn kernbestanden wijzigen, zodat de cliënt [...]


Aanvallers gebruiken Backdoor en RAT Cocktail om zich op de Balkan te richten

Ransomware Envicom todayaugustus 14, 2019 20

Background
share close
balkanrat-envicom

Verschillende landen zijn het doelwit geweest van een langetermijncampagne die wordt uitgevoerd door financieel gemotiveerde bedreigingsactoren die een achterdeur en een Trojan (RAT) kwaadaardige combinatie gebruiken om de controle over geïnfecteerde computers over te nemen.

De twee kwaadaardige payloads genaamd BalkanDoor en BalkanRAT door de ESET-onderzoekers die ze zagen, zijn eerder in het wild ontdekt door de Kroatische CERT in 2017 en, nog eerder, door een Servische beveiligingsuitrusting in 2016. ESET was echter de eerste die de verbinding tussen hen legde, na het observeren van verschillende tamelijk significante overlappingen in de entiteiten waarop hun operatoren zich richtten, evenals Tactieken, Technieken en Procedures (TTP) overeenkomsten

Financieel gemotiveerde campagne

De malwarecocktail wordt op de computers van de slachtoffers gedropt via malspam-e-mails die linken naar kwaadaardige bestanden. Eenmaal geïnfecteerd, kunnen de aanvallers volledige controle krijgen over de gecompromitteerde hosts, hetzij via de opdrachtregel met behulp van de BalkanDoor-payload of via een grafische interface met behulp van BalkanRAT.

“Deze tamelijk ongewone opstelling maakt het voor aanvallers mogelijk om de meest geschikte methode te kiezen om de computer te instrueren de bewerkingen van hun keuze uit te voeren”, voegt ESET toe.

De hackers achter deze campagne zijn waargenomen tijdens het aanvallen van entiteiten uit Kroatië, Servië, Montenegro en Bosnië en Herzegovina.

Ze zijn ook financieel gemotiveerd op basis van de voor de hand liggende focus van de spam-e-mails die verschillende soorten belastingdocumentbijlagen hebben geleverd en het feit dat hun doelen allemaal onderdeel lijken te zijn van de financiële afdelingen van de organisaties.

De malspam-e-mails die aan de slachtoffers werden afgeleverd, maakten gebruik van domeinen die werden ontworpen om legitieme websites uit de landen van de doelwitten te imiteren voor het hosten van hun kwaadaardige payloads, met de domeinen variërend van belastingadministratie en ministeries van financiële sites tot locaties die zogenaamd de kamer van koophandel van het land zouden zijn.

ESET constateerde dat deze campagne sinds minstens 2016 actief is op basis van interne telemetriegegevens, terwijl de meest recente BalkanDoor- en BalkanRAT-monsters in juli zijn gedetecteerd.

Hoewel de BalkanDoor-backdoor-malware geen exfiltratiekanaal heeft om verzamelde gegevens naar zijn meesters te sturen, werd BalkanRAT door ESET waargenomen “door een tool te laten vallen die beschikbare smartcards kan weergeven, via de SCardListReadersA / SCardConnectA API-functies.”

“Smartcards worden meestal uitgegeven door banken of overheden ter bevestiging van de identiteit van de houder. Smartcards kunnen bij misbruik misbruik maken van illegale / frauduleuze activiteiten, bijvoorbeeld het digitaal ondertekenen van een contract, het valideren van een geldtransactie enz.”, Legt het rapport van ESET uit.

De twee kwaadaardige payloads

Hoewel de BalkanDoor-malware wordt geleverd met beperkte functionaliteit, aangezien het een beperkt aantal opdrachten ondersteunt, hebben de onderzoekers sinds 2016 meerdere varianten waargenomen, die allemaal een verschillende combinatie van mogelijkheden bieden waarmee ze externe shells kunnen maken, screenshots kunnen maken, om het scherm van het slachtoffer te ontgrendelen zonder een wachtwoord nodig te hebben, of om meer payloads op de geïnfecteerde te downloaden.

De achterdeur wordt op de systemen van de doelen geplaatst via de malspam-campagne (soms met behulp van valse PDF’s), waardoor de BalkanDoor-belasting wordt verlaagd en persistentie wordt verkregen met behulp van een kwaadaardig script dat nieuwe registersleutels en opstartitems toevoegt.

Zodra het wordt gestart op de geïnfecteerde machines, maakt de malware verbinding met een van de verschillende commando- en controlecentra (C2) die zijn opgeslagen in een hardgecodeerde lijst en wacht het op opdrachten van de meesters. De aanvallers hebben de keuze om meerdere gecompromitteerde computers tegelijk te besturen met behulp van INI-bestanden met de lijst met machines die een specifieke set opdrachten moeten uitvoeren.

asm-envicom

BalkanRAT-componenten

Hoewel de RAT meestal alleen de processen verbergt die worden gebruikt om zijn taken uit te voeren, hebben de onderzoekers ook vastgesteld dat het processen verbergt die zijn voortgebracht door de achterdeur van BalkanDoor, een feit dat de verbinding tussen de twee malwarestammen verder versterkt.

De campagne die de afgelopen drie jaar gericht was op het financiële personeel van organisaties uit Kroatië, Servië, Montenegro en Bosnië en Herzegovina, was ook gericht op Oekraïense notarissen, waardoor de aanvallers de gecompromitteerde computersystemen van de notaris konden misbruiken om namens hen illegale operaties uit te voeren .

“Net zoals aanvallers een frauduleuze transactie namens een notaris kunnen bevestigen, kunnen ze een frauduleuze transactie uitvoeren terwijl ze zich voordoen als een manager op de financiële afdeling van een bedrijf”, concludeert ESET.

Een lijst met BalkanDoor- en BalkanRAT-malwarevoorbeelden SHA-1-hashes wordt aan het einde van hun rapport verstrekt door de onderzoekers, samen met C2-serverdomeinen die in deze campagne worden gebruikt en MITER ATT & CK-techniekenmatrices voor beide malwarestammen.

Written by: Envicom

Tagged as: , .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *