HIsoka Malware

Die Hisoka-Malware ist eine Backdoor-Bedrohung, die in zwei separaten Angriffskampagnen gegen Transport- und Schifffahrtsunternehmen in Kuwait eingesetzt wird. Die Bedrohungsakteure verwendeten Hisoka zusammen mit mehreren anderen maßgeschneiderten Malware-Bedrohungen. Die Hacker benannten ihre Werkzeuge nach Charakteren aus der beliebten Manga- und Anime-Serie "Hunter x Hunter" - Sakaboto, Hisoka, Gon, Killua und Netero.

Das erste Mal, dass die Hisoka-Malware entdeckt wurde, war, als die Malware auf einem Computer einer Organisation abgelegt wurde, die im Transport- und Versandsektor Kuwaits tätig ist. Die beschädigte Binärdatei wurde 'inetinfo.sys' genannt und enthielt eine Hisoka-Version 0.8. Über Hisoka setzten die Bedrohungsakteure schnell zwei zusätzliche Malware-Tools ein - Gon und EYE. Gon ist eine leistungsstarke Hintertür, mit der Hacker Daten hochladen und herunterladen, Befehle ausführen, RDP-Verbindungen (Remote Desktop Protocol) öffnen, Screenshots erstellen, nach offenen Ports suchen usw. Andererseits ist EYE ein Bereinigungstool für Alle RDP-Verbindungen, die von den Kriminellen hergestellt werden, da sie die zugehörigen Prozesse beenden und zusätzliche identifizierende Artefakte entfernen können. Version 0.8 der Hisoka Malware kommunizierte mit ihrer Command-and-Control-Infrastruktur (C2, C&C) sowohl über HTTP- als auch über DNS-Tunneling.

Hisoka geht von einem modularen Ansatz aus

In einer Kampagne gegen eine andere kuwaitische Organisation aus derselben Branche stellten Infosec-Forscher fest, dass eine neue Version von Hisoka verwendet wird. Die Version 0.9 wurde als Datei mit dem Namen "netiso.sys" geliefert. Im Vergleich zu den vorherigen Iterationen der Malware zeigte diese neue Version eine veränderte Denkweise der Kriminellen. Anstatt alle schädlichen Funktionen in einer einzigen Bedrohung zusammenzufassen, versuchten sie nun, einen modulareren Ansatz zu wählen, indem sie bestimmte Funktionen aus Hisoka entfernten und in eine eigenständige Malware-Bedrohung namens Netero packten. Das neue Tool ist in Hisoka als Ressource mit dem Namen 'msdtd' eingebettet und kann bei Bedarf initiiert werden. Durch die Delegierung bestimmter Aspekte an verschiedene Tools versuchen die Hacker möglicherweise, ihren Platzbedarf auf dem gefährdeten Computer zu minimieren und die Erkennung ihres Tools zu erschweren.

Version 0.9 enthielt auch eine erweiterte Palette von Kommunikationskanälen mit den C2-Servern, einschließlich einer E-Mail-basierten Funktion. Damit diese Methode funktioniert, nutzt Hisoka Exchange Web Services (EWS) und missbräuchliche Anmeldeinformationen, um E-Mails zu erstellen, die im Ordner "Entwürfe" gespeichert sind. Bei eingehenden Befehlen sucht die Malware-Bedrohung nach E-Mails mit dem Betreff "Projekt". Gleichzeitig erfolgt die ausgehende Kommunikation über E-Mails mit dem Betreff 'Present'. Der Text der ausgehenden E-Mail enthält eine verschlüsselte Nachricht, und eine Datei kann angehängt werden, wenn der entsprechende Befehl 'upload_file' empfangen wurde.