SharpStage Backdoor
Die MoleRats Advanced Persistent Threat (APT) -Gruppe hat eine neue Bedrohungskampagne gestartet, die im Nahen Osten und in Nordafrika üblich ist. Insbesondere sind die Ziele, die bei dieser Operation angegriffen werden, hochrangige politische Persönlichkeiten und Regierungsbeamte in Ägypten, den Palästinensischen Gebieten, der Türkei und den Vereinigten Arabischen Emiraten. MoleRats halten auch an ihrem Muster fest, wichtige regionale Ereignisse als Köder für ihre Phishing-E-Mails zu nutzen. Was die Aufmerksamkeit von Infosec-Forschern auf sich zog, war die Bereitstellung von zwei neuen Backdoor-Tools, von denen jedes SharpStage Backdoor genannt wurde.
Die SharpStage-Backdoor ist eine potenzielle Backdoor-Bedrohung, die in .NET geschrieben wurde und Anzeichen dafür zeigt, dass sie sich noch in der aktiven Entwicklung befindet. Bisher haben Forscher drei verschiedene Iterationen des Bedrohungswerkzeugs entdeckt, wobei das neueste die Fähigkeit besitzt, beliebige Befehle auszuführen, sensible Daten zu sammeln, Screenshots zu machen und alle gesammelten Informationen zu filtern. Um sicherzustellen, dass die Malware nur auf den entsprechenden Zielen initiiert wird, haben die MoleRat-Hacker eine Maßnahme implementiert, die überprüft, ob auf dem infizierten Computer Arabisch installiert ist, und die Ausführung beendet, wenn die Überprüfung ein negatives Ergebnis liefert.
Es wurde beobachtet, dass die SharpStage-Backdoor zusätzliche bedrohliche Nutzdaten auf den gefährdeten Computer herunterlädt, einschließlich des Quasar RAT-RAS-Frameworks. Obwohl Quasar RAT ein legitimes Windows-Tool ist, wenn es im luftleeren Raum betrachtet wird, kann nicht geleugnet werden, dass mehrere Cyberkriminelle es bereits als Teil ihrer Operationen aufgenommen haben. Schließlich können sie mit Quasar RAT problemlos Keylogging, Datenerfassung, Abhören und andere bedrohliche Prozesse einleiten.
MoleRats APT hat sich auch schnell an den wachsenden Trend unter Hackern angepasst, wonach solche Bedrohungsakteure legitime Social-Media-Plattformen und Cloud-Dienste als Teil ihrer Malware-Command-and-Control-Strukturen (C2, C & C) oder Datenexfiltrationsroutinen verwenden. Insbesondere die SharpStage-Backdoor lädt Daten herunter und filtert sie heraus, indem sie eine Dropbox-Client-API nutzt, die über ein Token mit Dropbox kommunizieren kann.
