MESSAGEMANIFOLD Malware

MESSAGEMANIFOLD Malware-Beschreibung

Die MESSAGEMANIFOLD-Malware ist eine neu entdeckte Malware-Sorte, die als Teil des Arsenals einer noch nicht identifizierten Hacker-Gruppe beobachtet wurde. Die jüngste Kampagne, die die Malware-Bedrohung einsetzte, wurde gegen die tibetische Gemeinschaft eingesetzt. Anfang dieses Jahres, im Mai 2020, wurde MESSAGEMANIFOLD gegen taiwanesische Gesetzgeber beobachtet.

Die Angriffskette der Bedrohung beginnt mit der Verbreitung gezielter Spear-Phishing-E-Mails. Um das maximale Engagement der ausgewählten Ziele zu erreichen, wurden die E-Mails so gestaltet, dass sie als Einladung zu Aktivitäten erscheinen, die für die tibetische Gemeinschaft wichtig sind, wie z. B. Konferenzen. Der Text der E-Mails enthielt ein oder zwei Google Drive-Links, die einen Download beschädigter ausführbarer Dateien mit dem Namen "dalailama-Invitations.exe" initiierten. Die Dateien fungierten als Dropper der ersten Stufe. Bei der Ausführung wird eine gefälschte Windows-Fehlermeldung angezeigt, um die Aufmerksamkeit von der Tatsache abzulenken, dass eine zweite ausführbare Datei im Ordner 'C: \ users | Public' abgelegt wird. Die Verbindung mit der Command-and-Control-Infrastruktur (C2, C & C) wird über HTTP-POST-Anforderungen hergestellt. Infosec-Forscher stellten fest, dass möglicherweise eine bestimmte Antwort vom C2-Server erforderlich ist, bevor die Malware mit der nächsten Infektionsstufe fortfahren kann.

Die beiden Kampagnen, bei denen die MESSAGEMANIFOLD-Malware beteiligt war, weisen zahlreiche Überschneidungen auf, was darauf hindeutet, dass dieselbe Gruppe von Hackern für beide verantwortlich ist. Beispielsweise wurden alle an den Kampagnen beteiligten Domains auf AS 42331 (PE Freehost) und AS 42159 (Zemlyaniy Dmitro Leonidovich) gehostet, die über Deltahost, einen ukrainischen Hosting-Anbieter, erworben werden können. Die E-Mail-Adresse 'diir.tibet.net@mail.ru', mit der die beiden C2-Domänen registriert wurden, führte die Forscher der Insikt Group zur Entdeckung von drei weiteren Domänen mit tibetischem Thema - intibet.net, mail-tibet .net und dalailama.online. Alle nicht abgedeckten Domains wurden über denselben Domain-Reseller - Domenburg - registriert.

Die besonderen Aspekte der beiden Angriffskampagnen stützen die Vermutung, dass die Gruppe der dahinter stehenden Hacker staatlich gefördert werden könnte. Der gezielte Charakter der Opfer, das geringe Operationsvolumen, das der Gruppe zugeschrieben wird, und der offensichtliche Mangel an finanzieller Motivation stützen diese Theorie. Darüber hinaus könnte die strategische Bedeutung der Ziele und die Tatsache, dass sowohl Taiwan als auch die tibetische Region seit langem Punkte konzentrierter chinesischer Interessen sind, ein wichtiger Hinweis bei der Bestimmung der Loyalität der Hacker sein.

Hinterlasse eine Antwort

Bitte verwenden Sie NICHT dieses Kommentarsystem für Support oder Zahlungsfragen. Für technische Supportanfragen zu SpyHunter wenden Sie sich bitte direkt an unser technisches Support-Team, indem Sie über SpyHunter ein Kunden-Support-Ticket öffnen. Für Rechnungsprobleme, leiten Sie bitte zu unserer "Rechnungsfragen oder Probleme?" Seite weiter. Für allgemeine Anfragen (Beschwerden, rechtliche Fragen, Presse, Marketing, Copyright) besuchen Sie unsere Seite "Anfragen und Feedback".


HTML ist nicht erlaubt.