MESSAGEMANIFOLD Malware

Die MESSAGEMANIFOLD-Malware ist eine neu entdeckte Malware-Sorte, die als Teil des Arsenals einer noch nicht identifizierten Hacker-Gruppe beobachtet wurde. Die jüngste Kampagne, die die Malware-Bedrohung einsetzte, wurde gegen die tibetische Gemeinschaft eingesetzt. Anfang dieses Jahres, im Mai 2020, wurde MESSAGEMANIFOLD gegen taiwanesische Gesetzgeber beobachtet.

Die Angriffskette der Bedrohung beginnt mit der Verbreitung gezielter Spear-Phishing-E-Mails. Um das maximale Engagement der ausgewählten Ziele zu erreichen, wurden die E-Mails so gestaltet, dass sie als Einladung zu Aktivitäten erscheinen, die für die tibetische Gemeinschaft wichtig sind, wie z. B. Konferenzen. Der Text der E-Mails enthielt ein oder zwei Google Drive-Links, die einen Download beschädigter ausführbarer Dateien mit dem Namen "dalailama-Invitations.exe" initiierten. Die Dateien fungierten als Dropper der ersten Stufe. Bei der Ausführung wird eine gefälschte Windows-Fehlermeldung angezeigt, um die Aufmerksamkeit von der Tatsache abzulenken, dass eine zweite ausführbare Datei im Ordner 'C: \ users | Public' abgelegt wird. Die Verbindung mit der Command-and-Control-Infrastruktur (C2, C & C) wird über HTTP-POST-Anforderungen hergestellt. Infosec-Forscher stellten fest, dass möglicherweise eine bestimmte Antwort vom C2-Server erforderlich ist, bevor die Malware mit der nächsten Infektionsstufe fortfahren kann.

Die beiden Kampagnen, bei denen die MESSAGEMANIFOLD-Malware beteiligt war, weisen zahlreiche Überschneidungen auf, was darauf hindeutet, dass dieselbe Gruppe von Hackern für beide verantwortlich ist. Beispielsweise wurden alle an den Kampagnen beteiligten Domains auf AS 42331 (PE Freehost) und AS 42159 (Zemlyaniy Dmitro Leonidovich) gehostet, die über Deltahost, einen ukrainischen Hosting-Anbieter, erworben werden können. Die E-Mail-Adresse 'diir.tibet.net@mail.ru', mit der die beiden C2-Domänen registriert wurden, führte die Forscher der Insikt Group zur Entdeckung von drei weiteren Domänen mit tibetischem Thema - intibet.net, mail-tibet .net und dalailama.online. Alle nicht abgedeckten Domains wurden über denselben Domain-Reseller - Domenburg - registriert.

Die besonderen Aspekte der beiden Angriffskampagnen stützen die Vermutung, dass die Gruppe der dahinter stehenden Hacker staatlich gefördert werden könnte. Der gezielte Charakter der Opfer, das geringe Operationsvolumen, das der Gruppe zugeschrieben wird, und der offensichtliche Mangel an finanzieller Motivation stützen diese Theorie. Darüber hinaus könnte die strategische Bedeutung der Ziele und die Tatsache, dass sowohl Taiwan als auch die tibetische Region seit langem Punkte konzentrierter chinesischer Interessen sind, ein wichtiger Hinweis bei der Bestimmung der Loyalität der Hacker sein.