Threat Database Malware BlackSoul Malware

BlackSoul Malware

Es wurde ein neuer Aufwand an RAT-Malware (Remote Access Trojan) festgestellt, der durch eine angebliche Spear-Phishing-Kampagne gegen Regierungsstellen bereitgestellt wird. Die Malware wurde von Infosec-Forschern, die den Vorgang entdeckten, BlackSoul genannt. Aufgrund von Ähnlichkeiten im Code des Malware-Tools und den allgemeinen TTPs (Techniken, Taktiken und Verfahren) der Kampagne stellten die Experten fest, dass die wahrscheinlich dafür verantwortliche Bedrohungsakteur die Hacker-Gruppe ReconHellcat ist.

Der Angriff beginnt mit einer gefälschten Köder-E-Mail mit einem kompromittierten CAB-Archiv. Das Archiv und die darin enthaltene Datei haben den gleichen Namen: "1-10-22-hb44_final". Die Implikation ist, dass der Anhang ein Dokument des Nationalen Instituts für Standards und Technologie (NIST) ist, das für Zielpersonen von Interesse sein könnte.

Die im Archiv enthaltene ausführbare Datei enthält den Loader der ersten Stufe. Die Malware ist mit Verschleierungstechniken ausgestattet, die mit früheren Bedrohungstools der ReconHellcat-Gruppe übereinstimmen. Beim Herstellen einer Verbindung mit der Command-and-Control-Infrastruktur (C2, C & C) ruft der Loader die endgültige Nutzlast ab und zeigt sie in Form von zwei neuen Dateien an. Es wird auch versucht, seine Aktivität zu verbergen, indem dem Zielbenutzer ein legitimes Microsoft Word-Fenster mit dem legitimen Dokument von der NIST-Website angezeigt wird. Die beiden vom Loader auf den gefährdeten Computer abgelegten Dateien sind eine ausführbare Datei mit dem Namen "blacksoul" und eine DLL-Datei mit dem Namen "blacksoulLib".

Die BlackSoul-Nutzlast selbst ist eine vergleichsweise einfache RAT mit einer begrenzten Anzahl von Funktionen und umsetzbaren Befehlen. Es erkennt nur vier Befehle, die von den C2-Servern empfangen wurden, aber sie sind mehr als genug. BlackSoul kann beliebige Befehle ausführen, zusätzliche Dateien abrufen, auf dem infizierten System ablegen und Dateien von diesem herausfiltern. Um eine Erkennung zu vermeiden, wurde die RAT mit verschiedenen Verschleierungstechniken ausgestattet. Hauptsächlich werden Zeichenfolgen auf dem Stapel dynamisch erstellt und anschließend eine Reihe verschiedener Mechanismen verwendet, z. B. eine feste XOR-Verschlüsselung und eine Caesar-Verschlüsselung, wobei variable Verschiebungswerte verwendet werden, um sie zu deobfuscieren.

Beim Aufrufen der DLL-Bibliotheksdatei durch BlackSoul wird versucht, Daten aus den Webbrowsern Chrome, Firefox und Opera zu erfassen. Wenn solche Daten nicht abgerufen werden können, beendet das Programm seinen Betrieb vorzeitig. Es hilft auch bei der anfänglichen Verbindung zu den C2-Servern, indem die C2-URL und die DoH-URL (Cloudflare DNS-over-HTTPS) dekodiert werden. Darüber hinaus werden die erforderlichen Anmeldeinformationen generiert und die gesammelten Daten in einem JSON-Format an die BlackSoul Malware zurückgegeben.

ReconHellcat scheint ihrem Muster zu folgen, Angriffskampagnen gegen Regierungsorganisationen zu starten. In früheren Operationen wurden die Hacker dokumentiert, die versuchten, diplomatische Organisationen und Regierungsstellen der Verteidigung zu infiltrieren.

Im Trend

Am häufigsten gesehen

Wird geladen...