Foudre Malware

Foudre Malware-Beschreibung

Die Foudre-Malware ist ein in Delphi geschriebenes Bedrohungswerkzeug. Die Foudre-Malware ist Teil des Arsenals eines vermutlich von Iran unterstützten APT-Akteurs (Advanced Persistent Threat) namens Infy. Es gibt Hinweise darauf, dass diese Gruppe von Hackern seit mindestens 2007 aktiv ist. Die Cyberkriminellen führten jahrelang aktive Operationen durch, bis ein Abschaltversuch von Infosec-Forschern sie in den Ruhezustand zwang.

Jetzt wurde eine neue Angriffskampagne aufgedeckt, die Infy zugeschrieben wird. Der Vorgang läuft seit mehreren Jahren und verwendet neue Malware-Tools sowie Techniken. Es scheint, dass die Infy-Hacker versuchen, sich mit ihren Aktivitäten zurück zu halten. Die Zielgruppe der Unternehmen scheint im Einklang mit ihren früheren Unternehmungen zu stehen, wobei iranische Opfer deutlich ausgeschlossen sind.

Eine der neuen Waffen der Hacker ist die Foudre Malware. Die Foudre-Malware fungiert als Nutzlast in der mittleren Phase, die mit der Übertragung der endgültigen Malware-Bedrohung auf die gefährdeten Systeme beauftragt ist. Die Foudre-Malware infiziert ihre Ziele, indem sie sich in Dokumenten versteckt, die die Opfer zum Öffnen verleiten sollen. Die Drohdokumente sind in der Regel vollständig in persischer Sprache verfasst. Zwei beobachtete Proben sprechen entweder über den Gouverneur der Stadt Dorud in der iranischen Provinz Lorestan oder geben vor, von der ISAAR, der von der iranischen Regierung geförderten Stiftung für Märtyrer- und Veteranenangelegenheiten, gesendet zu werden. Die ISAAR-Agentur vergibt Kredite an behinderte Veteranen des Landes und ihre Familien.

Wenn das Opfer das Köderdokument öffnet, löst es ein bedrohliches Makro aus, das ein selbstextrahierendes Archiv als fwupdate.temp in das temporäre Verzeichnis des Computers legt. Es ist zu beachten, dass das Makro ausgeführt wird, wenn das Opfer das Dokument schließt. Wenn Foudre bereitgestellt wird, versucht es, eine Verbindung mit seinem Command-and-Control-Server (C2, C & C) herzustellen. Foudre authentifiziert den C2-Server durch Herunterladen einer Signaturdatei. Nach erfolgreicher Überprüfung sucht die Malware nach verfügbaren Updates, indem sie versucht, eine zweite Signaturdatei herunterzuladen. Schließlich wird die Nutzlast im Endstadium geliefert - eine Malware-Bedrohung namens Tonnerre Malware.

Während dieser letzten Aktivität der Infy-Hacker konnten Infosec-Forscher mehrere verschiedene Versionen der bereitgestellten Foudre-Malware beobachten. Während diese Versionen größtenteils nur geringfügige technische Änderungen enthalten, wie z. B. unterschiedliche Fensternamen, Exportfunktionsnamen und Zeichenfolgen, enthalten die neueren Versionen einige wichtige Verbesserungen.

Die Foudre-Malware wurde mit einem aktualisierten Algorithmus zur Domänengenerierung ausgestattet, der die Erkennung der Bedrohung etwas erschweren könnte, wenn die Sicherheitsanbieter versuchen, sie mithilfe zuvor entdeckter DGA zu erkennen. Um sich besser vor Abschaltversuchen zu schützen, enthält Infy jetzt eine C2-RSA-Überprüfungsroutine in seinen Malware-Tools.