21.10.2021 17:30

Aktuelle SPAM-Kampagne zur Auslieferung von Schadsoftware in DACH-Region

Aktuell hat eine international agierende SPAM-Kampagne zur Auslieferung von Schadsoftware (Malspam-Kampagne) deutschsprachige Länder (DACH-Region) im Fokus 1 2. Es handelt sich mit hoher Voraussicht dabei um eine Kampagne der bekannten Akteure "TA505", welche bereits seit 2014 ihr Unwesen treiben. Allerdings wurde die von diesen Akteuren bekannte Infektionskette modifiziert und diese in erster Instanz unter dem Namen "MirrorBlast" bekannt. Weitere Analyse der Taktiken, Techniken und Prozeduren legen aber die zuvor erwähnte Verwandtschaft mit "TA505" nahe. 2 3
Konkret bedienen sich die Akteure klassischer Malspam-Mittel wie Dokumentenanhänge mit Macros, HTML-Anhänge mit Hyperlink oder direktem Hyperlink zu einem verseuchten Dokument im Textteil der E-Mail. In letzter Zeit sind in dieser Kampagne allerdings verstärkt Hyperlinks zu falschen File-Share Diensten die täuschend echt (Domain und Design) legitimen Diensten, wie Dropbox, Sharepoint und anderen, nachempfunden sind, zu beobachten. Das ist unter anderem ein Markenzeichen von "TA505".
Bediente sich "TA505" in früheren Kampagnen zum Download der weiteren Teile der Infektionskette nach Aktivierung des Macros im Dokument eigener, speziell dafür programmierter Software namens "Get2 Downloader", kommen hierfür aktuell zwei grundsätzlich legitime Programme "KiXtart" und/oder "Rebol" zum Einsatz. Da letztere nicht per se als schadhaft eingestuft werden können, erschwert dieser Aspekt und die eingesetzte spezielle Methode für den Download dieser Komponenten im obfuskierten VBS/JS-Code die Detektion des Infektionsverlaufs.
Das Script löst über eine ActiveX-Steuerung den Microsoft MSI Installer aus, welcher sich über eine hinterlegte URL "KiXtart" und/oder "Rebol" herunterlädt, ausführt und dann weitere Schritte setzt. Mit dieser Technik scheint die Installation scheinbar nicht als Child-Prozess des verseuchten Dokuments auf, sondern als normaler msiexec-Prozess. Dies trägt zur erwähnten Erschwerung einer Detektion bei.
Als finale Schadsoftware im primären Infektionsprozess dieser Kampagne kommt ein weiterentwickelter von "TA505" bekannter Remote Access Trojaner "FlawedGrace" zum Einsatz.
Genaue technische Details und detaillierte Analysen der Komponenten der Kampagne und dieser selbst, können den Publikationen 2 3 4 entnommen werden.

 

  1. Siehe https://twitter.com/tbarabosch/status/1448271775691849731.

  2. Siehe https://www.proofpoint.com/us/blog/threat-insight/whatta-ta-ta505-ramps-activity-delivers-new-flawedgrace-variant.

  3. Siehe https://blog.morphisec.com/explosive-new-mirrorblast-campaign-targets-financial-companies.

  4. Siehe https://frsecure.com/blog/the-rebol-yell-new-rebol-exploit/.