Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware TransferLoader-Malware

TransferLoader-Malware

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Sicherheitsforscher stellen Verbindungen zwischen den berüchtigten Akteuren hinter dem RomCom RAT und einem Malware-Loader namens TransferLoader her. Diese Kampagne, die Unternehmen mit Spionage- und Ransomware-Angriffen ins Visier nahm, weist auf ausgeklügelte Techniken und sich überschneidende Infrastrukturen hin, die einer genauen Prüfung bedürfen.

Zwei Bedrohungsakteur-Cluster: TA829 und UNK_GreenSec

Cybersicherheitsforscher haben die mit TransferLoader verbundenen Aktivitäten zwei primären Bedrohungsakteurgruppen zugeschrieben:

  • TA829, auch unter Aliasnamen wie RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 und Void Rabisu verfolgt.
  • UNK_GreenSec, ein weniger bekannter Cluster, der parallel mit ähnlichen Taktiken operiert.

TA829 ist besonders für seine hybriden Operationen bekannt, die Spionage und finanziell motivierte Angriffe kombinieren. Die mit Russland verbundene Gruppe nutzte bereits Zero-Day-Schwachstellen in Mozilla Firefox und Microsoft Windows, um RomCom RAT einzusetzen und damit hochkarätige globale Organisationen anzugreifen.

TransferLoader: Entstehung und Rolle in Malware-Kampagnen

TransferLoader wurde erstmals im Februar 2025 im Rahmen einer Kampagne mit der Morpheus-Ransomware, einer umbenannten Version der HellCat-Ransomware, entdeckt. Die Malware wurde gegen eine namentlich nicht genannte US-Anwaltskanzlei eingesetzt. Im Gegensatz zu RomCom dient TransferLoader in erster Linie als verdeckter Übertragungsmechanismus und ermöglicht die Bereitstellung zusätzlicher Schadsoftware wie Metasploit und Morpheus.

Die Mission von TransferLoader ist einfach: unentdeckt bleiben und weitere Malware verbreiten.

Ausnutzung der REM-Proxy-Infrastruktur

Sowohl TA829 als auch UNK_GreenSec nutzen REM-Proxy-Dienste, die häufig auf kompromittierten MikroTik-Routern gehostet werden. Diese Proxys dienen dazu, bösartigen Datenverkehr umzuleiten und dessen wahren Ursprung zu verschleiern. Die Gruppen nutzen diese Infrastruktur für:

  • Senden Sie Phishing-E-Mails über Freemail-Dienste (z. B. Gmail, ukr.net).
  • Weiterleiten von Datenverkehr zum Verbergen von Upstream-Aktivitäten
  • Starten Sie Kampagnen mit neu erstellten und kompromittierten E-Mail-Konten

Forscher vermuten den Einsatz von E-Mail-Builder-Tools, die massenhaft Absenderadressen wie ximajazehox333@gmail.com und hannahsilva1978@ukr.net für die Verbreitung von Phishing-Mails generieren.

Phishing-Mechanismen und Payload-Übermittlung

Die von beiden Clustern versendeten Phishing-Nachrichten enthalten häufig Links im E-Mail-Text oder in PDF-Anhängen. Opfer, die auf diese Links klicken, werden über Rebrandly einer Kette von Weiterleitungen unterzogen und landen schließlich auf gefälschten Google Drive- oder Microsoft OneDrive-Seiten. Diese Weiterleitungen beinhalten Mechanismen, um:

  • Sandbox-Umgebungen umgehen
  • Nicht interessante Systeme herausfiltern
  • Liefern Sie je nach Bedrohungsgruppe unterschiedliche endgültige Nutzlasten

Unterschiedliche Angriffspfade :

  • UNK_GreenSec verwendet diese Route, um TransferLoader bereitzustellen
  • TA829 leitet Ziele auf SlipScreen-Malware um

Gemeinsam genutzte Tools und Infrastruktur

Beide Akteursgruppen weisen überlappende Toolsets und Infrastrukturentscheidungen auf:

  • Verwendung des PLINK-Dienstprogramms von PuTTY zum Einrichten von SSH-Tunneln
  • Hosten bösartiger Dienstprogramme auf IPFS-Diensten (InterPlanetary File System)
  • Nutzung dynamischer PHP-basierter Umleitungsendpunkte zur Verkehrsfilterung

Diese gemeinsamen Methoden legen eine mögliche Koordination oder gegenseitige Übernahme wirksamer Taktiken nahe.

Social-Engineering-Themen und -Übermittlungstaktiken

Kampagnen mit TransferLoader tarnen sich oft als E-Mails mit Stellenangeboten und locken Opfer mit Links, die angeblich zu PDF-Lebensläufen führen. Tatsächlich löst der Link jedoch einen Download von TransferLoader aus, der auf IPFS-Webshares gehostet wird.

Wichtige technische Highlights des TransferLoader-Betriebs

Umgeht die Erkennung – Verwendet Umleitung, Filterung und dezentrales Hosting, um herkömmliche Abwehrmaßnahmen zu umgehen.

Payload Delivery – Fungiert als Loader für gefährlichere Malware, einschließlich Ransomware und Remote-Access-Tools.

Differenzierte Techniken – Verwendet einzigartige Umleitungsstrukturen (JavaScript-zu-PHP-Endpunkte), um die dynamische Bereitstellung von Inhalten zu unterstützen.

Fazit: Die Bedrohung durch TransferLoader verstehen

TransferLoader stellt als getarnter Loader eine erhebliche Bedrohung dar und ermöglicht Angriffe mit hoher Wirkung. Sein Einsatz durch UNK_GreenSec und TA829 verdeutlicht, wie cyberkriminelle Gruppen kontinuierlich Innovationen entwickeln, Tools austauschen und dezentrale Infrastrukturen ausnutzen, um unentdeckt zu bleiben und ihre Ziele zu erreichen.

Zu den Indikatoren für die Bedrohung durch TransferLoader gehören:

  • Nutzung von REM-Proxy-Diensten
  • E-Mail-Köder mit Verweisen auf Bewerbungen oder Lebensläufe
  • Weiterleitungsketten mit Rebrandly-Links
  • Auf IPFS-basierten Plattformen gehostete Nutzlasten

Organisationen müssen wachsam bleiben, robuste E-Mail- und Webfilter implementieren und kontinuierlich auf abnormales Netzwerkverhalten achten, das mit diesen Taktiken in Verbindung steht.

Im Trend

Am häufigsten gesehen

Wird geladen...