Mehrgerätelizenzen (Mengenrabatte)

Region ändern

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Trojan Downloader SkinnyBoy Malware

SkinnyBoy Malware

Von CagedTech in Trojan Downloader
Übersetzen Sie in:
Deutsch

Infosec-Experten des Bedrohungsforschungsunternehmens Cluster 25 haben eine neue Spear-Phishing-Kampagne aufgedeckt, die gegen strategische Einheiten eingesetzt wird. Als Teil der Angriffskette fanden die Forscher eine neue Malware-Bedrohung, die als Mid-Stage-Downloader fungierte, der die letzte bedrohliche Nutzlast auf angegriffene Systeme lieferte. Die Malware namens SkinnyBoy wird als Teil des schädlichen Arsenals der russischsprachigen APT28- Gang zugeschrieben. Dieser besondere Bedrohungsakteur wird auch unter den Namen Fancybear, Sednit, Strontium, PwnStorm und Sofacy verfolgt.

SkinnyBoy-Eigenschaften

Der SkinnyBoy-Angriff beginnt mit der Zustellung von Köder-Phishing-E-Mails. Opfer erhalten eine gefälschte Einladung zu einer internationalen wissenschaftlichen Veranstaltung, die angeblich Ende Juli in Spanien stattfinden soll. An die E-Mail angehängt ist ein mit Waffen ausgestattetes Microsoft-Dokument, das ein beschädigtes Makro enthält. Bei seiner Aktivierung extrahiert das Makro einen Malware-Downloader in Form einer DLL-Datei.

SkinnyBoy wird neben dem infizierten System ausgeliefert. Die Bedrohung kommt als Datei mit dem Namen "tpd1.exe". Nach der Initialisierung versucht SkinnyBoy, einen Persistenzmechanismus einzurichten, indem eine LNK-Datei im Windows-Autostartordner erstellt wird. Immer wenn das kompromittierte System das nächste Mal neu gestartet wird, wird der LNK ausgelöst und sucht nach der SkinnyBoy-Hauptnutzlastdatei 'TermSrvClt.dll'. Dazu wird der SHA256-Hash jeder Datei gescannt, die im C:\Benutzer\%Benutzername%\AppData\Lokaler Speicherort gespeichert ist.

Die Kernaufgabe von SkinnyBoy ist die Auslieferung der endgültigen Nutzlast auf die infizierten Systeme. Während die Bedrohung auf dem System vorhanden ist, sammelt sie jedoch auch bestimmte Informationen, indem sie die Windows-Tools „syteminfo.exe" und „tasklist.exe" ausnutzt. Die Daten werden von den folgenden Dateien und Orten gesammelt:

  • C:\Benutzer\%Benutzername%\Desktop
  • C:\Programme - C:\Programme (x86)
  • C:\Benutzer\%Benutzername%\AppData\Roaming\Microsoft\Windows\Start Menu\Programme\Administrative Tools
  • C:\Benutzer\%Benutzername%\AppData\Roaming
  • C:\Benutzer\%Benutzername%\AppData\Roaming\Microsoft\Windows\Templates
  • C:\Windows - C:\Benutzer\Benutzer\AppData\Local\Temp

Die von SkinnyBoy gesammelten Informationen werden dann organisiert, im base64-Format kodiert und an die Command-and-Control-Server der Operation exfiltriert.

SkinnyBoy-Opfer

Die SkinnyBoy-Malware wurde bisher gegen eine Vielzahl potenzieller Opfer eingesetzt. Es scheint, dass APT28 hauptsächlich auf Regierungsbehörden wie Außenministerien, Einheiten der Verteidigungsindustrie, Botschaften und Organisationen des Militärsektors abzielt. Während sich mehrere der Opfer in der Europäischen Union befanden, könnte APT28 in größerem Umfang operieren, wobei der Angriff möglicherweise auch US-Organisationen betrifft.

Im Trend

Am häufigsten gesehen

Wird geladen...