MINEBRIDGE RAT

Angriffe gegen Sicherheitsforscher scheinen bei Cyberkriminellen immer beliebter zu werden. Eine Bedrohungsgruppe, von der angenommen wird, dass sie solche Angriffe durchgeführt hat, ist TA505. Es gibt Hinweise darauf, dass TA505 seit mindestens 2014 aktiv ist. Die Gruppe ist dafür bekannt, die MINEBRIDGE-RATTE in ihren Betrieben einzusetzen.

Die neueste Kampagne verwendet eine mehrstufige Angriffskette, die letztendlich die MINEBRIDGE RAT auf dem Zielcomputersystem bereitstellt. Die Hacker locken ihre Opfer mit gefälschten Lebensläufen in Form von makrobasierten Word-Dokumenten. Bei der Ausführung zeigt die schädliche Datei die Bestätigungsmeldung "Datei erfolgreich aus PDF konvertiert" und einen Job-Lebenslauf an, der angeblich von einem Bedrohungsdaten-Analysten gesendet wurde. Dies ist jedoch nur ein Köder, der die Aufmerksamkeit des Opfers von dem zugrunde liegenden Makrocode ablenken soll, der im Hintergrund eine Befehlszeile erstellt, mit der codierte Inhalte von einer bestimmten IP-Adresse abgerufen werden können. Das heruntergeladene SFX-Archiv (Self Extracting) wird im Ordner% appdata% des Benutzers abgelegt.

Ein komplexer mehrstufiger Angriff liefert MINEBRIDGE RAT

Die SFX-Datei repräsentiert die erste Stufe der MINEBRIDGE RAT-Angriffskette. Es wird über certutil.exe ausgeführt und führt dazu, dass legitime TeamViewer-Binärdateien, mehrere DLL-Dateien und zusätzliche Dokumentdateien auf dem gefährdeten System abgelegt werden. Eine der mitgelieferten Binärdateien mit dem Namen "defrender.exe" ist für die Einleitung der nächsten Stufe des Angriffs verantwortlich. Es ist zu beachten, dass die Binärdatei so konzipiert ist, dass sie als legitime Windows Defender-Binärdatei angezeigt wird.

Stufe 2 des Angriffs umfasst die Ausführung der TeamViewer-Anwendung, die dann zum Laden der DLL-Seite gezwungen wird. Es lädt die bereitgestellte msi.dll-Datei, die wiederum den Shellcode entpackt und ausführt. Der Shellcode hat die Aufgabe, die UPX-gepackte Binärdatei der endgültigen Nutzlast - MINEBRIDGE RAT - zu liefern.

Bei vollständiger Bereitstellung ermöglicht die Bedrohung den Angreifern, eine Vielzahl von böswilligen Aktivitäten auszuführen. Sie können die gefährdeten Benutzer ausspionieren und zusätzliche Malware-Nutzdaten bereitstellen. MINEBRIDGE RAT erstellt drei separate Bedrohungen, die jeweils eine andere Verantwortung haben:

Aufbau der C & C-Kommunikation und Bereitstellung des Persistenzmechanismus
Überprüfen des Systemleerlaufstatus durch Überwachen des Timings der letzten Eingabe
Vermeiden versehentlichen Benachrichtigungs-Popups, indem Sie den ShowNotificationDialog-Prozess beenden

Der Persistenzmechanismus der Bedrohung wird durch eine LNK-Datei mit dem Namen 'Windows Logon.lnk' erreicht, die im Startverzeichnis des Systems abgelegt wird.