NuggetPhantom Malware
NuggetPhantom ist der Name eines modularisierten Malware-Toolkits. Infosec-Forscher verbinden diese neu entdeckte Operation mit der Aktivität eines einzelnen Bedrohungsakteurs, der bisher für die Durchführung mehrerer verschiedener Angriffskampagnen verantwortlich war. Die erste Operation der Gruppe fand Ende 2016 statt, als Kunden des Tianyi Campus von Malware angegriffen wurden, was auf den betroffenen Computern einen BSOD-Fehler (Blue Screen of Death) verursachte. In einer anschließenden Kampagne, die sich erneut an Kunden des Tianyi Campus richtete, haben die Hacker Cryptomining-Nutzdaten auf die kompromittierten Systeme gepflanzt. Die neu entdeckte Aktivität umfasst auch die Bereitstellung von Cryptomining-Malware.
Die Angriffskette beginnt damit, dass die Hacker nach Computersystemen suchen und diese auswählen, die noch für den EternalBlue-Exploit anfällig sind. Anschließend erstellen sie angepasste Nutzdaten für die spezifischen anfälligen Systeme. Potenzielle Opfer werden einzeln mit einer Downloader-Nutzlast angegriffen, die die EternalBlue-Sicherheitsanfälligkeit ausnutzt. Der Downloader selbst weist mehrere ausgefeilte Eigenschaften auf, mit denen er potenzielle Anti-Malware-Techniken bekämpfen kann. Darüber hinaus ist es mit mehreren Stealth-Techniken ausgestattet, die es der Bedrohung ermöglichen, sich der Verhaltenserkennung und Verkehrsanalyse zu entziehen. Die stark modularisierte Struktur bietet Hackern die Möglichkeit, nur die spezifischen beschädigten Prozesse aufzurufen und auszuführen, die für den aktuellen Vorgang erforderlich sind, wodurch sich der Gesamtbedarf des Toolkits verringert. Bei vollständiger Bereitstellung wurde festgestellt, dass die NuggetPhantom-Malware zum Kryptomining über die Computerressourcen des Opfers und zum Ausführen von DDoS-Angriffen (Distributed Denial-of-Service) verwendet wird.
Der Bedrohungsakteur hat seine Taktiken, Techniken und Verfahren (TTPs) im Laufe der Zeit geändert. Nach den jüngsten Beobachtungen von Infosec-Experten legen die Hacker nun mehr Wert darauf, unbemerkt zu bleiben und über einen längeren Zeitraum auf den Zielcomputern zu bestehen, um die maximalen potenziellen Geldgewinne zu erzielen, ihre Aktivitäten jedoch ziemlich schnell zu entdecken und herunterzufahren.
