TEARDROP Malware

Von Mezo in Malware, Remote Administration Tools, Trojan Downloader

Übersetzen Sie in:

TEARDROP ist eine der Malware-Bedrohungen, die beim Supply-Chain-Angriff auf die Orion-Plattform von Solarwind eingesetzt werden. Der Bedrohungsakteur setzte eine Reihe verschiedener Bedrohungsinstrumente frei, die den spezifischen Zielen der Operation und dem jeweiligen infizierten Ziel entsprachen. Die nie zuvor gesehene TEARDROP-Malware fungierte als Dropper der zweiten Stufe und wurde mit der Lieferung einer Nutzlast der nächsten Stufe beauftragt - dem Cobalt Strike Beacon Implant (Version 4). Es ist zu beachten, dass Cobalt Strike ein legitimes RAS-Tool ist, das für Penetrationstests entwickelt wurde. Seine zahlreichen leistungsstarken Funktionen haben es jedoch zu einem beliebten Bestandteil im Arsenal mehrerer Hacker-Gruppen gemacht. Mit Cobalt Strike kann ein potenzieller Bedrohungsakteur nahezu die vollständige Kontrolle über das gefährdete System erlangen. Das RAT (Remote Access Tool) kann angewiesen werden, Keylogging-Routinen einzurichten, beliebige Aufnahmen auf dem System zu machen, zusätzliche schädliche Nutzdaten bereitzustellen, das Dateisystem zu manipulieren und ausgewählte sensible Daten über verschlüsselte Tunnel an Remote-Server zu filtern.

Struktur von TEARDROP Malware

Der TEARDROP-Dropper ist eine bedrohliche 64-Bit-DLL (Dynamic Link Library), die vollständig im Speicher arbeitet, ohne Dateien auf die Festplatte zu schreiben. Es wird als Dienst ausgeführt, erzeugt einen Thread und liest die ersten 64 Bytes einer Datei mit dem Namen ' festive_computer.jpg '. Die Daten werden für nichts benötigt und die Bedrohung wird auch ohne die Datei 'festive_computer.jpg ' weitergeführt. Der tatsächliche Name der Datei kann variieren, da einige Infosec-Forscher andere Versionen wie " gracious_truth.jpg" entdeckt haben.

Der nächste Schritt für die TEARDROP-Malware besteht darin, das Vorhandensein von HKU \ SOFTWARE \ Microsoft \ CTF zu überprüfen und die eingebettete Cobalt Strike-Beacon-Nutzlast über einen benutzerdefinierten XOR-Algorithmus zu dekodieren. Schließlich lädt der Dropper die eingebetteten Nutzdaten über ein benutzerdefiniertes PE-ähnliches Format in den Speicher.

TEARDROP ist eng verwandt mit einer anderen Dropper-Familie, die bei demselben Supply-Chain-Angriff namens Raindrop beobachtet wurde. Die beiden Bedrohungen weisen praktisch identische Funktionen und erhebliche Überschneidungen auf und weisen einige wesentliche Unterschiede auf. Der größte Unterscheidungsfaktor zwischen den beiden Malware-Familien ist die Verwendung eines anderen Packers für Raindrop.

Suche

Region ändern

TEARDROP Malware

Kommentar abgeben

Im Trend

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Am häufigsten gesehen

Ist Lookmovie.io sicher?

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...