Main menu

Pages

Avast beschreibt die Kompromisskette der Spionagegruppe Worok

Meta description

Die Cyberspionagegruppe Worok missbraucht die Dropbox-API, um Daten durch eine versteckte Hintertür in scheinbar harmlose Bilddateien zu exfiltrieren.

Forscher des Cybersicherheitsunternehmens Avast haben beobachtet, wie die neu entdeckte Spionagegruppe Worok die Dropbox-API missbraucht, um Daten durch eine Hintertür zu exfiltrieren, die in scheinbar harmlosen Bilddateien versteckt ist.

Die Experten begannen ihre Untersuchung mit der von ESET veröffentlichten Analyse zu den Angriffen auf Organisationen und lokale Regierungen in Asien und Afrika. Experten von Avast konnten mehrere PNG-Dateien erfassen, die eine Nutzlast für Datendiebstahl enthalten. Sie wiesen darauf hin, dass das Sammeln von Daten von den Computern der Opfer, die das DropBox-Repository verwenden, und von Angreifern, die die DropBox-API verwenden, um mit der Endphase zu kommunizieren.

Avast-Experten beleuchten die Kompromittierungskette, indem sie detailliert beschreiben, wie die Angreifer die Malware der ersten Stufe ursprünglich eingesetzt haben, die als CLRLoader verfolgt wird und die Next State PNGLoader-Nutzlast lädt.

“PNGLoader ist ein Loader, der Bytes aus PNG-Dateien extrahiert und sie in ausführbaren Code rekonstruiert. PNGLoader ist eine verschleierte .NET-DLL-Datei, die .NET Reactor verwendet; die Dateibeschreibung enthält Informationen, die legitime Software wie Jscript Profiler oder Transfer Service Proxy liest von Avast veröffentlichter Bericht „Entschleierter PNGLoader-Code enthält Einstiegspunkt (Setfilter), der von CLRLoader aufgerufen wird.“

Es wird angenommen, dass der bösartige Code von Angreifern eingesetzt wird, indem sie Proxyshell-Schwachstellen ausnutzen. Als Nächstes verwendeten die Angreifer öffentlich verfügbare Exploit-Tools, um ihre benutzerdefinierten bösartigen Tools einzusetzen.

Arbeits-Kompromiss-Ketten-3

Experten haben zwei Varianten von PNGLoad gefunden, die beide verwendet werden, um im Bild versteckten Schadcode zu entschlüsseln und ein PowerShell-Skript oder eine .NET C#-basierte Payload auszuführen.

Das PowerShell-Skript blieb schwer fassbar, obwohl die Cybersicherheitsfirma feststellte, dass sie auf einige PNG-Dateien in der zweiten Kategorie hinweisen konnte, die steganographisch eingebettete C#-Malware verteilten.

„Auf den ersten Blick sehen PNG-Bilder unschuldig aus, wie eine flauschige Wolke“, sagte Avast.

Avast erweitert die von ESET beschriebene Kompromittierungskette durch die Entdeckung einer .NET C#-Nutzlast, die als DropBoxControl verfolgt wird, was einen dritten Schritt darstellt.

Arbeit

DropboxControl ist eine Backdoor, die Informationen stiehlt und den Missbrauch des DropBox-Dienstes für die C2-Kommunikation kommuniziert.

„Es sollte beachtet werden, dass der C&C-Server ein DropBox-Konto ist und die gesamte Kommunikation wie Bestellungen, Uploads und Downloads über normale Dateien in bestimmten Ordnern erfolgt. Daher werden Backdoor-Befehle als Dateien mit einer definierten Erweiterung dargestellt. DropBoxControl überprüft regelmäßig den DropBox-Ordner und führt Befehle basierend auf den Abfragedateien aus. fährt der Bericht fort. “Die Antwort für jeden Befehl wird auch als Ergebnisdatei in den DropBox-Ordner hochgeladen.”

Die Hintertür kann beliebige ausführbare Dateien ausführen, Daten hoch- und herunterladen, Dateien löschen und umbenennen, Dateiinformationen erfassen, Netzwerkkommunikation ausspionieren und Metadaten exfiltrieren.

Laut Avast wurde DropboxControl aufgrund erheblicher Unterschiede im Quellcode und seiner Qualität nicht vom Autor von CLRLoad und PNGLoad entwickelt.

„Das wichtigste Ergebnis dieser Untersuchung ist das Abfangen von PNG-Dateien, wie von ESET erwartet. Die in C# integrierte Kurzform-Nutzlast (DropBoxControl) bestätigt, dass Worok die Cyberspionagegruppe ist. Sie stehlen Daten über das registrierte DropBox-Konto in aktiven Google-E-Mails. schließt AVAST. „Die Verbreitung der Tools von Worok in freier Wildbahn ist gering, was darauf hindeuten könnte, dass es sich bei dem Toolset um ein APT-Projekt handelt, das sich auf führende Unternehmen im privaten und öffentlichen Sektor in Asien, Afrika und Südamerika konzentriert.“

Folge mir auf Twitter: @Sicherheitsfragen und Facebook und Mastodon

Pierluigi Paganini

(Sicherheitsfälle Hacken, Worok)





Blog In 2021 joker0o xyz

Commentaires