last posts

Gootkit Loader zielt aktiv auf die australische Gesundheitsbranche ab

Meta description

Zugriff auf Anmeldeinformationen

Die Datei krb.txt wurde von einem der injizierten Prozesse erstellt, der Kerberos-Hashes für mehrere Konten enthält. Da wir keine Flush-Aktivität in der Prozesstelemetrie gesehen haben, fand der Flush-Prozess im Arbeitsspeicher statt; Es wurde kein neues Tool oder keine ausführbare Datei eingeführt, um den Speicherauszug zu erstellen.

Auswirkung

Die endgültige Nutzlast für diesen Fall ist unbekannt, da wir sie erkannt und darauf reagiert haben, während sie sich in der Mitte der Infektionskette befand.

Fazit

Unsere Überwachung der Gootkit-Loader-Aktivität, die SEO-Vergiftung verwendet, ergab, dass die böswilligen Akteure dahinter ihre Kampagne aktiv implementieren. Bedrohungen, die auf bestimmte Geschäftsbereiche, Branchen und Regionen abzielen, werden immer aggressiver. Neben der fortgesetzten Ausrichtung auf den Rechtssektor mit dem Wort „Vereinbarung“ stellten wir auch fest, dass die laufende Operation ihre Ausrichtungsmöglichkeiten deutlich verfeinert hat, indem sie die Wörter „Krankenhaus“, „Gesundheit“, „Medizinisch“ und Namen australischer Städte aufnahm .

Der Missbrauch des VLC Media Players durch APT10 wurde in der Vergangenheit gemeldet, was einige Sicherheitsteams auf einen solchen Missbrauch aufmerksam gemacht haben könnte. Das Querladen von DLLs ist zu einer gängigen Methode bei APT-Operationen geworden, und es ist für Bedrohungsforscher nicht mehr überraschend, dass sie in ähnlichen Kampagnen verwendet wird. Der Missbrauch legitimer Tools ist jedoch heute alltäglich geworden und wurde auch bei Nicht-APT-Operationen beobachtet.

Um die Auswirkungen von Cyber-Bedrohungen zu mindern, sollten Sie sich bewusst sein, dass diese Taktiken und Techniken weit verbreitet sind. In diesem Fall könnten Suchmaschinenergebnisse durch SEO-Vergiftung zum Herunterladen bösartiger Dateien kontaminiert werden, und legitime Tools könnten sich böswillig verhalten, weil sie missbraucht wurden. Daher sollten Sicherheitsteams immer die Möglichkeit des Ladens von DLLs oder des Einschleusens von bösartigem Code in Betracht ziehen, da der Missbrauch legitimer Tools alltäglich geworden ist.

Da technische Lösungen aktualisiert werden, wenn neue Angriffsmethoden entdeckt werden, empfehlen wir, dass Sicherheitsteams ihre Sicherheitslösungen konfigurieren und die Best Practices der Branche befolgen. Wenn außerdem aufgrund des Timings eine Lücke zwischen Trendtaktiken und technischen Lösungen besteht, können Sicherheitsteamarbeit, menschliche Beobachtung und Entscheidungen erforderlich sein.

Selbst wenn die Sicherheitslösungen eines Unternehmens richtig konfiguriert sind, kann es vorkommen, dass es nicht ausreicht, Bedrohungen abzuwehren. Böswillige Akteure können neue, fortschrittlichere Varianten der Malware mithilfe von Techniken einsetzen, die der Erkennung entgehen können, sodass das Security Operations Center (SOC)-Team und die Bedrohungsanalysten Ihrer Organisation wissen sollten, dass sie in der Lage sind, böswillige Aktivitäten in Ihrem Netzwerk effektiv zu erkennen und zu beheben rechtzeitig. Weg.

Sicherheitsempfehlungen

Für Zielbranchen:

Wie in diesem Blog erwähnt, zielt das Gootkit-Ladegerät derzeit neben dem Rechtssektor auf den australischen Gesundheitssektor ab. Es ist nicht einfach, den Methoden eines Gegners auszuweichen, aber in diesem Fall kann es effektiv sein, die Benutzer darüber zu informieren.

Menschen im betroffenen Rechtssektor und der australischen Gesundheitsbranche darüber zu informieren, dass ihre Suchergebnisse vergiftet werden könnten, und sie aufzuklären, indem ihnen die Screenshots in den Abbildungen 2 und 3 gezeigt werden, könnte helfen, den Schaden zu mindern. Außerdem müssen Sicherheitsprodukte richtig konfiguriert und auf dem neuesten Stand gehalten werden.

Für Sicherheitsteams:

Wenn Angreifer ein legitimes Tool missbrauchen, können die von ihnen verwendeten Techniken variieren, aber der bösartige Code muss vorbereitet, geladen und ausgeführt werden. Legitime Tools selbst können schwer zu erkennen sein, aber herkömmliche Antivirensoftware kann Dateien mit bösartigem Code erkennen, während Extended Detection and Response (EDR) oder Human Incident Response die Auswirkungen durch deren Entfernung mindern können.

Wie wir in diesem Fall gesehen haben, ist eines dieser Ereignisse die Erkennung von libvlc.dll, die vom VLC Media Player geladen wurde. Diese Art des DLL-Seitenladens wird normalerweise von einem Code-signierten Prozess durchgeführt, der eine unsignierte, unbekannte DLL lädt. Beobachtungen in diesem Zusammenhang können auch Sicherheitsteams beim Umgang mit der Bedrohung unterstützen.

Die Prozessinjektion des Tools wabmig.exe ist eine weitere bemerkenswerte Technik bei diesem Vorgang. Bei der Prozessinjektion existiert der Schadcode nicht als eigenständige Datei, sondern nur im Arbeitsspeicher. Da wabmig.exe ein Standard-Adressbuch-Importtool ist, das in Windows enthalten ist, wird nicht erwartet, dass es häufig in modernen Unternehmensumgebungen verwendet wird. Erwägen Sie aus diesem Grund, wabmig.exe selbst als frühes Anzeichen für Missbrauch zu starten. Beachten Sie, dass der Missbrauch von wabmig.exe für die Verwendung von Cobalt Strike wurde auch im Follina-Fall von Microsoft berichtet.

Für Webadministratoren:

In der Zwischenzeit sollten Webadministratoren bedenken, dass das Ausführen einer anfälligen WordPress-Site zur Teilnahme an einer solchen Bedrohung führen kann. Daher ist es wichtig, beim Erstellen einer Website die neuesten Best Practices für Sicherheit zu befolgen. Holen Sie sich, wie unter Härten von WordPress beschrieben, keine Plugins oder Designs aus nicht vertrauenswürdigen Quellen. Beschränken Sie sich auf das WordPress.org-Repository oder namhafte Unternehmen. Und stellen Sie natürlich sicher, dass Ihre Plugins immer auf dem neuesten Stand sind.

Um herauszufinden, ob Ihre Website von dieser Bedrohung betroffen ist, sehen Sie sich die Anzahl der generierten Seiten an, die Wörter wie „Zustimmung“ enthalten. Wenn Ihre Website mehrere Seiten mit solchen Inhalten enthält, kann dies darauf hindeuten, dass die Website kompromittiert wurde, und Sie sollten schnell handeln, um den durch den Angriff verursachten Schaden einzudämmen.

Trend Micro-Lösungen

Wir empfehlen Sicherheitslösungen, die Ihrem Unternehmen umfassenden Schutz bieten, um diese und andere Bedrohungen in Schach zu halten.

Trend Micro Vision One™ hilft Sicherheitsteams dabei, einen ganzheitlichen Überblick über Versuche in laufenden Kampagnen zu erhalten, indem ihnen eine korrelierte Ansicht mehrerer Ebenen wie E-Mail, Endpunkte, Server und Cloud-Workloads bereitgestellt wird. Sicherheitsteams können eine breitere Perspektive und ein besseres Verständnis von Angriffsversuchen gewinnen und verdächtiges Verhalten erkennen, das ansonsten harmlos erscheinen würde, wenn es von einer einzigen Ebene aus betrachtet wird.

Trend Micro™ Managed XDR überwacht und analysiert Aktivitätsdaten von bereitgestellten Trend Micro XDR- und Schutzlösungen rund um die Uhr. E-Mail-, Endpunkt-, Server-, Cloud-Workload- und Netzwerkquellen werden korreliert, um die Quelle und Verbreitung komplexer gezielter Angriffe besser zu erkennen und zu verstehen.

Blog In 2021 joker0o xyz




Font Size
+
16
-
lines height
+
2
-