Originalquelle: Microsoft Security Threat Intelligence
In den letzten Jahren ist der Kryptowährungsmarkt erheblich gewachsen und hat das Interesse von Investoren und Bedrohungsakteuren geweckt. Kryptowährung selbst wurde von Cyberkriminellen für ihre Operationen verwendet, insbesondere für Lösegeldzahlungen bei Ransomware-Angriffen, aber wir haben auch beobachtet, dass Bedrohungsakteure Organisationen innerhalb der Kryptowährungsbranche direkt ins Visier nehmen, um sich finanziell zu bereichern. Angriffe auf diesen Markt haben viele Formen angenommen, darunter Betrug, Ausnutzung von Schwachstellen, gefälschte Anwendungen und die Verwendung von Info-Diebstählen, da Angreifer versuchen, an Kryptowährungsgelder zu gelangen.
Wir sehen auch komplexere Angriffe, bei denen der Bedrohungsakteur viel Wissen und Vorbereitung zeigt und Schritte unternimmt, um das Vertrauen seines Ziels zu gewinnen, bevor er Payloads einsetzt. So untersuchte Microsoft kürzlich einen Angriff, bei dem der Bedrohungsakteur, verfolgt als DEV-0139, Telegram-Chatgruppen ausnutzte, um Kryptowährungs-Investmentunternehmen anzugreifen. DEV-0139 trat Telegram-Gruppen bei, die zur Erleichterung der Kommunikation zwischen VIP-Kunden und Kryptowährungs-Tauschplattformen verwendet wurden, und identifizierte sein Ziel unter den Mitgliedern. Der Bedrohungsakteur gab sich als Vertreter eines anderen Kryptowährungs-Investmentunternehmens aus und lud das Ziel im Oktober 2022 zu einer anderen Chatgruppe ein und gab vor, um Feedback zur Gebührenstruktur zu bitten, die von Kryptowährungs-Tauschplattformen verwendet wird. Der Bedrohungsakteur verfügte über ein breiteres Wissen über diesen spezifischen Teil der Branche, was darauf hindeutet, dass er gut vorbereitet war und sich der aktuellen Herausforderung bewusst war, vor der die anvisierten Unternehmen stehen könnten.
Nachdem DEV-0139 das Vertrauen des Ziels gewonnen hatte, schickte er eine manipulierte Excel-Datei mit dem Namen OKX Binance & Huobi VIP fee comparision.xls, die mehrere Tabellen über Gebührenstrukturen bei Kryptowährungsbörsen enthielt. Die Daten im Dokument waren wahrscheinlich korrekt, um ihre Glaubwürdigkeit zu erhöhen. Diese manipulierte Excel-Datei löst die folgende Reihe von Aktivitäten aus:
Ein bösartiges Makro in der manipulierten Excel-Datei missbraucht die UserForm von VBA, um den Code zu verschleiern und Daten abzurufen.
Das bösartige Makro fügt ein weiteres Excel-Tabellenblatt in das Formular ein und führt es im unsichtbaren Modus aus. Das besagte Excel-Tabellenblatt ist in Base64 kodiert und wird unter dem Namen VSDB688.tmp in C:\ProgramData\Microsoft Media\ abgelegt.
Die Datei VSDB688.tmp lädt eine PNG-Datei herunter, die drei ausführbare Dateien enthält: eine legitime Windows-Datei namens logagent.exe, eine bösartige Version der DLL wsock32.dll und eine XOR-codierte Hintertür.
Die Datei logagent.exe wird verwendet, um die bösartige wsock32.dll seitlich zu laden, die als DLL-Proxy für die legitime wsock32.dll fungiert. Die bösartige DLL-Datei wird verwendet, um die XOR-codierte Hintertür zu laden und zu entschlüsseln, die dem Bedrohungsakteur Fernzugriff auf das infizierte System ermöglicht.
Abbildung 1. Überblick über den Angriff
Weitere Untersuchungen mithilfe unserer Telemetrie führten zur Entdeckung einer weiteren Datei, die dieselbe DLL-Proxy-Technik verwendet. Doch statt einer bösartigen Excel-Datei wird sie in einem MSI-Paket für eine CryptoDashboardV2-Anwendung vom Juni 2022 geliefert. Dies könnte darauf hindeuten, dass andere ähnliche Kampagnen ebenfalls vom selben Bedrohungsakteur mit denselben Techniken durchgeführt werden.
In diesem Blogbeitrag präsentieren wir die Details, die wir bei unserer Untersuchung des Angriffs auf ein Kryptowährungs-Investmentunternehmen aufgedeckt haben, sowie die Analyse zugehöriger Dateien, um ähnlichen Organisationen zu helfen, diese Art von Bedrohung zu verstehen und sich auf mögliche Angriffe vorzubereiten. Forscher bei Volexity haben kürzlich auch ihre Ergebnisse zu diesem Angriff veröffentlicht.
Wie bei jeder beobachteten Aktivität staatlicher Akteure benachrichtigt Microsoft direkt Kunden, die angegriffen oder kompromittiert wurden, und stellt ihnen die Informationen zur Verfügung, die sie zum Schutz ihrer Konten benötigen. Microsoft verwendet DEV-####-Bezeichnungen als temporären Namen für einen unbekannten, neu entstehenden oder sich entwickelnden Cluster von Bedrohungsaktivitäten, sodass das Microsoft Threat Intelligence Center (MSTIC) diese als eindeutigen Satz von Informationen verfolgen kann, bis wir eine hohe Sicherheit über den Ursprung oder die Identität des Akteurs hinter der Aktivität erreichen. Sobald die Kriterien erfüllt sind, wird ein DEV in einen benannten Akteur umgewandelt.
Anfänglicher Kompromiss
Um die Ziele zu identifizieren, suchte der Bedrohungsakteur auf Telegram nach Mitgliedern von Kryptowährungs-Investmentgruppen. Bei dem konkreten Angriff nahm DEV-0139 am 19. Oktober 2022 Kontakt mit seinem Ziel auf, indem er eine sekundäre Telegram-Gruppe mit dem Namen <NameOfTheTargetedCompany> <> OKX Fee Adjustment erstellte und drei Mitarbeiter einlud. Der Bedrohungsakteur erstellte gefälschte Profile mit Details von Mitarbeitern des Unternehmens OKX. Der folgende Screenshot zeigt die echten und die bösartigen Konten von zwei der in der Gruppe vorhandenen Benutzer.
Abbildung 2. Legitime Profile von Mitarbeitern von Kryptowährungsbörsen (links) und vom Bedrohungsakteur erstellte gefälschte Profile (rechts)
Es ist erwähnenswert, dass der Bedrohungsakteur über umfassende Kenntnisse der Kryptowährungsbranche und der Herausforderungen zu verfügen scheint, denen das Zielunternehmen gegenüberstehen könnte. Der Bedrohungsakteur stellte Fragen zu Gebührenstrukturen, also den Gebühren, die von Krypto-Börsenplattformen für den Handel erhoben werden. Die Gebühren sind eine große Herausforderung für Investmentfonds, da sie Kosten darstellen und optimiert werden müssen, um die Auswirkungen auf Marge und Gewinn zu minimieren. Wie bei vielen anderen Unternehmen dieser Branche entstehen die größten Kosten durch Gebühren, die von Börsen erhoben werden. Dies ist ein sehr spezifisches Thema, das zeigt, wie weit fortgeschritten und gut vorbereitet der Bedrohungsakteur war, bevor er sein Ziel kontaktierte.
Nachdem der Bedrohungsakteur das Vertrauen des Opfers gewonnen hatte, schickte er ihm ein manipuliertes Excel-Dokument mit weiteren Einzelheiten zu den Gebühren, um den Anschein von Legitimität zu erwecken. Der Bedrohungsakteur nutzte die Diskussion über die Gebührenstruktur als Gelegenheit, das Opfer aufzufordern, die manipulierte Excel-Datei zu öffnen und seine Informationen einzugeben.
Bewaffnete Excel-Dateianalyse
Die als Waffe eingesetzte Excel-Datei mit dem Dateinamen OKX Binance & Huobi VIP fee comparision.xls (Sha256: abca3253c003af67113f83df2242a7078d5224870b619489015e4fde060acad0) ist gut gemacht und enthält legitime Informationen über die aktuellen Gebühren einiger Krypto-Börsen. Die extrahierten Metadaten zeigten, dass die Datei vom Benutzer Wolf erstellt wurde:
Abbildung 3. Die Informationen in der schädlichen Excel-Datei
Das Makro ist verschleiert und missbraucht UserForm (eine Funktion zum Erstellen von Fenstern), um Daten und Variablen zu speichern. In diesem Fall lautet der Name des UserForms IFUZYDTTOP, und das Makro ruft die Informationen mit dem folgenden Code ab: IFUZYDTTOP.MgQnQVGb.Caption, wobei MgQnQVGb der Name des Labels im UserForm ist und .caption das Abrufen der im UserForm gespeicherten Informationen ermöglicht.
Die folgende Tabelle zeigt die aus dem UserForm abgerufenen Daten:
Das Makro ruft einige Parameter aus dem UserForm sowie einer weiteren in Base64 gespeicherten XLS-Datei ab. Die XLS-Datei wird als VSDB688.tmp im Verzeichnis C:\ProgramData\Microsoft Media abgelegt und im unsichtbaren Modus ausgeführt.
Abbildung 4. Der deobfuskierte Code zum Laden des extrahierten Arbeitsblatts im unsichtbaren Modus.
Darüber hinaus ist das Hauptblatt in der Excel-Datei mit dem Kennwort „Dragon“ geschützt, um das Ziel dazu zu bringen, die Makros zu aktivieren. Der Schutz des Blatts wird dann aufgehoben, nachdem die andere in Base64 gespeicherte Excel-Datei installiert und ausgeführt wurde. Dies wird wahrscheinlich verwendet, um den Benutzer dazu zu bringen, Makros zu aktivieren, ohne Verdacht zu erregen.
Extrahiertes Arbeitsblatt
Die zweite Excel-Datei, VSDB688.tmp (Sha256: a2d3c41e6812044573a939a51a22d659ec32aea00c26c1a2fdf7466f5c7e1ee9), wird verwendet, um eine PNG-Datei abzurufen, die später vom Makro analysiert wird, um zwei ausführbare Dateien und die verschlüsselte Hintertür zu extrahieren. Unten sind die Metadaten für das zweite Arbeitsblatt:
Abbildung 5. Die zweite Datei ist völlig leer, enthält aber dieselbe UserForm-Missbrauchstechnik wie die erste Phase.
Die folgende Tabelle zeigt die deobfuskierten Daten, die aus dem UserForm abgerufen wurden:
Das Makro ruft einige Parameter aus dem UserForm ab und lädt dann eine PNG-Datei von hxxps://od.lk/d/d021d412be456a6f78a0052a1f0e3557dcfa14bf25f9d0f1d0d2d7dcdac86c73/Background.png herunter. Die Datei war zum Zeitpunkt der Analyse nicht mehr verfügbar, was darauf hindeutet, dass der Bedrohungsakteur sie wahrscheinlich nur für diesen spezifischen Angriff eingesetzt hat.
Abbildung 6. Deobfuskierter Code, der den Download der Datei Background.png zeigt
Das PNG wird dann in drei Teile aufgeteilt und in drei verschiedene Dateien geschrieben: die legitime Datei logagent.exe, eine bösartige Version von wsock32.dll und die XOR-verschlüsselte Backdoor mit der GUID (56762eb9-411c-4842-9530-9922c46ba2da). Die drei Dateien werden verwendet, um die Hauptnutzlast auf das Zielsystem zu laden.
Abbildung 7. Die drei Dateien werden in C:\\ProgramData\SoftwareCache\ geschrieben und mit der CreateProcess-API ausgeführt.
Laderanalyse
Zwei der drei aus der PNG-Datei extrahierten Dateien, logagent.exe und wsock32.dll, werden zum Laden der XOR-verschlüsselten Hintertür verwendet. Die folgenden Abschnitte präsentieren unsere detaillierte Analyse beider Dateien.
Logagent.exe
Logagent.exe (Hash: 8400f2674892cdfff27b0dfe98a2a77673ce5e76b06438ac6110f0d768459942) ist eine legitime Systemanwendung, die zum Protokollieren von Fehlern von Windows Media Player und Senden der Informationen zur Fehlerbehebung verwendet wird.
Die Datei enthält die folgenden Metadaten, ist jedoch nicht signiert:
Die logagent.exe importiert Funktionen aus der wsock32.dll, die vom Bedrohungsakteur missbraucht werden, um Schadcode in das Zielsystem zu laden. Um die bösartige wsock32.dll auszulösen und auszuführen, wird logagent.exe mit den folgenden Argumenten ausgeführt, die zuvor vom Makro abgerufen wurden: 56762eb9-411c-4842-9530-9922c46ba2da /shadow. Beide Argumente werden dann von wsock32.dll abgerufen. Die GUID 56762eb9-411c-4842-9530-9922c46ba2da ist der Dateiname für die zu ladende bösartige wsock32.dll und /shadow wird als XOR-Schlüssel zum Entschlüsseln verwendet. Beide Parameter werden benötigt, damit die Malware funktioniert, was möglicherweise eine isolierte Analyse behindert.
Abbildung 8. Befehlszeilenausführung aus dem laufenden Prozess logagent.exe
Wsock32.dll
Die legitime wsock32.dll ist die Windows Socket API, die von Anwendungen zur Handhabung von Netzwerkverbindungen verwendet wird. Bei diesem Angriff verwendete der Bedrohungsakteur eine bösartige Version von wsock32.dll, um der Erkennung zu entgehen. Die bösartige wsock32.dll wird von logagent.exe durch DLL-Sideloading geladen und verwendet DLL-Proxying, um die legitimen Funktionen aus der echten wsock32.dll aufzurufen und der Erkennung zu entgehen. DLL-Proxying ist eine Hijacking-Technik, bei der sich eine bösartige DLL zwischen der Anwendung, die die exportierte Funktion aufruft, und einer legitimen DLL befindet, die diese exportierte Funktion implementiert. Bei diesem Angriff fungiert die bösartige wsock32.dll als Proxy zwischen logagent.exe und der legitimen wsock32.dll.
Anhand der Importadresstabelle lässt sich erkennen, dass die DLL den Aufruf an die legitimen Funktionen weiterleitet:
Abbildung 9. Adresstabelle importieren aus
Abbildung 10. Das Abrufen der Daten mit PeStudio ergab den ursprünglichen Dateinamen der bösartigen wsock32.dll.
Wenn die bösartige wsock32.dll geladen wird, ruft sie zuerst die Befehlszeile ab und überprüft, ob die Datei mit der GUID als Dateiname im selben Verzeichnis vorhanden ist. Dazu wird die CreateFile-API verwendet, um einen Datei-Handle abzurufen.
Abbildung 11. Überprüfung des Vorhandenseins der Datei 56762eb9-411c-4842-9530-9922c46ba2da zur Entschlüsselung
Die bösartige wsock32.dll lädt und dekodiert das endgültige Implantat in den Speicher mit dem GUID-Namen, der für den Fernzugriff auf die infizierte Maschine verwendet wird.
Sobald die Datei in den Speicher geladen ist, ermöglicht sie dem Bedrohungsakteur Fernzugriff. Zum Zeitpunkt der Analyse konnten wir die endgültige Nutzlast nicht abrufen. Wir haben jedoch eine andere Variante dieses Angriffs identifiziert und die Nutzlast abgerufen, die im nächsten Abschnitt erläutert wird. Identifizierte Implantate stellten eine Verbindung zum selben Command-and-Control-Server (C2) her.
Verwandter Angriff
Wir haben eine weitere Datei identifiziert, die einen ähnlichen Mechanismus wie logagent.exe verwendet und dieselbe Nutzlast liefert. Der Loader ist als MSI-Paket verpackt und enthält eine Anwendung namens CryptoDashboardV2 (Hash: e5980e18319027f0c28cd2f581e75e755a0dace72f10748852ba5f63a0c99487). Nach der Installation des MSI verwendet es eine legitime Anwendung namens tplink.exe, um die bösartige DLL namens DUser.dll seitlich zu laden, und verwendet außerdem DLL-Proxying.
Abbildung 12. Installationsdetails der MSI-Datei
Sobald das Paket installiert ist, wird es ausgeführt und lädt die DLL mit dem folgenden Befehl seitlich: C:\Users\user\AppData\Roaming\Dashboard_v2\TPLink.exe” 27E57D84-4310-4825-AB22-743C78B8F3AA /sven, wobei merklich eine andere GUID verwendet wird.
Eine weitere Analyse der bösartigen DUser.dll ergab, dass ihr ursprünglicher Name ebenfalls HijackingLib.dll lautet, genau wie der der bösartigen wsock32.dll. Dies könnte darauf hinweisen, dass dasselbe Tool zum Erstellen dieser bösartigen DLL-Proxys verwendet wurde. Nachfolgend finden Sie die Dateidetails zu DUser.dll:
Sobald die DLL ausgeführt wird, lädt und dekodiert sie das Implantat im Speicher und beginnt, dieselbe Domäne zu beaconen. In diesem Fall verwendet das Implantat den GUID-Namen 27E57D84-4310-4825-AB22-743C78B8F3AA und den XOR-Schlüssel /sven.
Implantatanalyse
Die von der bösartigen DLL im Speicher dekodierte Nutzlast ist ein Implantat, das der Bedrohungsakteur verwendet, um aus der Ferne auf die kompromittierte Maschine zuzugreifen. Wir konnten das Implantat der zweiten von uns entdeckten Variante bergen. Nachfolgend finden Sie die Details der Nutzlast:
Erkennungsdetails
Microsoft Defender Antivirus
Microsoft Defender Antivirus erkennt Bedrohungskomponenten als folgende Schadsoftware:
TrojanDownloader:O97M/Wolfic.A
TrojanDownloader:O97M/Wolfic.B
TrojanDownloader:O97M/Wolfic.C
TrojanDownloader:Win32/Wolfic.D
TrojanDownloader:Win32/Wolfic.E
Verhalten:Win32/WolficDownloader.A
Verhalten:Win32/WolficDownloader.B
Microsoft Defender für Endpunkt
Warnungen mit den folgenden Titeln im Sicherheitscenter können auf Bedrohungsaktivitäten in Ihrem Netzwerk hinweisen:
Eine ausführbare Datei hat eine unerwartete DLL geladen
DLL-Suchreihenfolge-Hijacking
Die Malware „Wolfic“ wurde verhindert
