RustyBuer-Malware
RustyBuer wurde von Sicherheitsforschern entdeckt und ist eine neue Version des Buer-Malware-Loaders. Die ursprüngliche Bedrohung wurde erstmals im Jahr 2019 beobachtet, als sie in unterirdischen Hackerforen zum Kauf angeboten wurde. Buer fungiert als erste Nutzlast, die auf dem Zielsystem Fuß fasst und den Angriff mit der Bereitstellung von Malware-Bedrohungen der nächsten Stufe eskaliert. Die neuere Version behält die gleiche Funktionalität bei, wobei der Hauptunterschied darin besteht, dass sie in der Programmiersprache Rust geschrieben ist.
Die Wiederherstellung bestehender Malware-Bedrohungen mit neueren und weniger etablierten Programmiersprachen ist ein relativ neuer Trend bei Cyberkriminellen. Auf diese Weise können sie signaturbasierte Anti-Malware-Sicherheitslösungen vermeiden, die die Originalversionen der Bedrohungen leicht erkennen können. Gleichzeitig wird die Zeit, die benötigt wird, um die Bedrohung freizugeben, drastisch reduziert, verglichen mit der Alternative, eine brandneue Malware erstellen zu müssen.
RustyBuers Angriffskette
Bei der Angriffsserie mit der Malware RustyBuer verbreiteten die Angreifer Lock-E-Mails, die vorgeben, vom internationalen Logistikunternehmen DHL zu stammen. Um den gefälschten Mails mehr Legitimität zu verleihen, fügten die Hacker die Logos mehrerer Cybersicherheitsanbieter hinzu. Der Text der gefälschten E-Mails weist das anvisierte Opfer an, die angehängte Datei zu öffnen, normalerweise ein mit Waffen versehenes Word- oder Excel-Dokument. Die beschädigte Datei enthält ein Makro, das die RustyBuer-Bedrohung auf das System überträgt. Um eine Erkennung durch Endpunktsicherheitslösungen zu vermeiden, nutzt das Makro eine Anwendungsumgehung.
Einmal im Gerät des Opfers, überprüft RustyBuer die Umgebung auf Anzeichen von Virtualisierung. Anschließend führt es eine Geolokalisierungsprüfung durch, um festzustellen, ob der Benutzer aus einem bestimmten GUS-Staat (Commonwealth of Independent States) stammt, und wenn eine Übereinstimmung gefunden wird, beendet die Malware ihre Ausführung. RustyBuer richtet auch einen Persistenzmechanismus über eine LNK-Datei ein, die bei jedem Systemstart initiiert wird.
Nutzlasten der nächsten Stufe
Die Analyse der jüngsten Angriffskampagnen, bei denen RustyBuer eingesetzt wurde, ergab, dass die Bedrohung größtenteils mit dem zuvor in Buer beobachteten Verhalten übereinstimmt – die Bedrohungsakteure haben ein Cobalt Strike Beacon auf die angegriffenen Systeme abgeworfen. Cobalt Strike ist ein legitimes Penetrationstest-Tool, das häufig von Bedrohungsakteuren ausgenutzt wird, die es in ihre Bedrohungsoperationen integrieren.
In einigen Fällen eskalierten die Bedrohungsakteure jedoch nicht, nachdem RustyBuer auf den Systemen eingerichtet wurde, und es wurden keine Payloads der zweiten Stufe erkannt. Die Forscher glauben, dass dies ein Zeichen dafür ist, dass die Bedrohungsakteure versuchen, ein Access-as-a-Service-System zu betreiben, das den Zugang zu den Systemen nach der Infektion an andere cyberkriminelle Gruppen verkauft.
Es sei auch darauf hingewiesen, dass die Existenz einer Liste von eingeschränkten Ländern aus der GUS-Region darauf hindeutet, dass die Betreiber von RustyBuer möglicherweise Verbindungen zu Russland haben könnten.
