More_eggs Malware

More_eggs-Malware ist eine hochentwickelte Backdoor-Trojaner-Bedrohung, die in einem MaaS-Schema (Malware-as-a-Service) angeboten wird. Es wird angenommen, dass der Entwickler der Bedrohung die Hacker-Gruppe Golden Chickens ist, und sie konnten mehrere große APT-Gruppen (Advanced Persistent Threat) als Kunden gewinnen, darunter FIN6, Evilnum und die Cobalt Group. Die böswilligen Funktionen von More_eggs ermöglichen es, dass die Bedrohung größtenteils unentdeckt bleibt, während die jeweilige Hacker-Gruppe den Angriff eskalieren kann, indem verschiedene Malware-Nutzdaten der Endphase entsprechend ihren spezifischen Zielen heruntergeladen werden.

Gefälschte Jobangebots-E-Mails verbreiten More_eggs Backdoor

Der anfängliche Kompromissvektor in den more_eggs-Angriffskampagnen ist normalerweise eine gezielte Spear-Phishing-E-Mail, die einen waffengeschützten Dateianhang enthält. Die neueste Operation im Zusammenhang mit dieser Backdoor-Bedrohung wurde vom Forschungsteam von eSentire aufgedeckt. Ihren Erkenntnissen zufolge hat eine bislang nicht identifizierte Hacker-Gruppe begonnen, hochrangige Mitarbeiter mit gefälschten Stellenangeboten anzusprechen. Die an die E-Mail angehängte schädliche Zip-Datei ist nach einer Jobposition benannt, die dem LinkedIn-Profil des jeweiligen Ziels entnommen wurde. Wenn beispielsweise der Job des ausgewählten Benutzers als Senior Product Manager auf LinkedIn aufgeführt ist, wird in der Zip-Datei der genaue Wortlaut verwendet und "Position" hinzugefügt - "Senior Product Manager - Position". Durch das Öffnen des Archivs wird der Installationsprozess des dateifreien Trojaners more_eggs gestartet.

Angriffskette

Der Installationsprozess von more_eggs durchläuft mehrere Phasen und mehrere Zwischenlader. Im ersten Schritt führt das Opfer durch Interaktion mit der über die Spearphishing-E-Mail übermittelten Datei VenomLNK aus, eine Anfangsphase des Trojaners more_eggs. VenomLNK missbraucht Windows Management Instrumentation, um den Plugin-Loader der nächsten Stufe namens TerraLoader zu aktivieren. Im Gegenzug entführt TerraLoader die legitimen Windows-Prozesse cmstp und regsvr32 . Um die schändlichen Aktivitäten im Hintergrund zu maskieren, präsentiert die Bedrohung ihrem Opfer zu diesem Zeitpunkt ein Lockvogel-Word-Dokument, das als legitime Arbeitsanwendung erscheinen soll. In der Zwischenzeit setzt TerraLoader seine Aufgaben fort, indem es msxsl im Roaming-Profil des Zielbenutzers installiert und eine neue Nutzlast namens TerraPreter aus einer von Amazon Web Services abgerufenen ActiveX-Steuerdatei lädt.

In der nächsten Phase des Angriffs beginnt die neu eingerichtete TerraPreter-Nutzlast, über die waffengesteuerte Kopie von mxsxl auf einen Command-and-Control-Server (C2, C & C) zu übertragen. Das Beacon warnt den Bedrohungsakteur, dass more_eggs vollständig auf dem System des Opfers eingerichtet ist und bereit ist, fortzufahren. Die Hacker können die Bedrohung dann anweisen, Nutzdaten im Endstadium wie Ransomware und Infostealer herunterzuladen und auszuführen oder sensible Benutzerdaten zu filtern.

Vorherige More_eggs-Kampagnen

Die Erkennungs-Vermeidungs-Techniken von more_eggs wie die Ausnutzung nativer Windows-Prozesse in Verbindung mit vielseitigen Funktionen haben Golden Chickens dabei geholfen, mehrere ATP-Hacker-Gruppen als Clients zu gewinnen. Infosec-Forscher haben gesehen, dass FIN6, Evilnum und die Cobalt Group die Backdoor-Bedrohung einsetzen. Obwohl alle drei als Zielunternehmen im Finanzsektor bezeichnet werden können, sind ihre Aktivitäten sehr unterschiedlich. FIN6 hat sich auf den Diebstahl von Zahlungskartendaten spezialisiert, die später auf unterirdischen Handelsplattformen verkauft werden. Ihre Hauptziele sind POS-Geräte (Point-of-Sale) und E-Commerce-Unternehmen. Evilnum hingegen kümmert sich um Finanztechnologieunternehmen und Anbieter von Aktienhandelsplattformen. Sie zielen auf vertrauliche private Informationen über das infiltrierte Unternehmen und seine Kunden ab, indem sie Tabellenkalkulationen, Kundenlisten, Handelsvorgänge und Kontoanmeldeinformationen stehlen. Die Cobalt Group richtet sich auch an Finanzunternehmen und hat bisher in mehreren Geschäftsbereichen more_eggs eingesetzt.