Sikkerhedsforskere afslørede netop et nyt fileløst angreb, der udnytter Microsoft Windows Error Reporting (WHO).
Hackegruppen bag det såkaldte Kraken-angreb er endnu ikke identificeret.
Sikkerhedsforskere Hossein Jazi og Jérôme Segura siger, at angrebet er afhængigt af malware, der gemmer sig i WER-baserede eksekverbare filer. På denne måde forbliver den ubemærket uden at skabe mistanke.
Kraken Fileless Attack Explained
Angrebet initieres af et lokket phishing-dokument i en .ZIP-fil, med titlen "Kompensationsmanual.doc." Som det ses i masser af phishing-angreb, dokumentet hævder at indeholde oplysninger om medarbejderers kompensationsrettigheder. Men, hvis en medarbejder i en organisation åbner den, de udløser en ondsindet makro. Aktivering af makroer er et af de ældste tricks i phishing-baserede ondsindede kampagner.
I dette tilfælde, makroen bruger en brugerdefineret version af CactusTorch VBA-modulet, der initierer et fileless angreb gennem shellcode. CactusTorch downloader derefter en .Net-kompileret binær, døbt Kraken.dll, som indlæses i hukommelsen og udføres via VBScript. Nyttelasten injicerer en integreret shellcode i WerFault.exe-filen, som er tilsluttet WER Microsoft-tjenesten. Shellkoden foretager også en HTTP-anmodning til et hårdt kodet domæne, måske gjort for at downloade yderligere malware.
"Windows Fejlrapportering (WHO) er en fleksibel begivenhedsbaseret feedbackinfrastruktur designet til at indsamle oplysninger om hardware- og softwareproblemer, som Windows kan registrere, rapportere oplysningerne til Microsoft, og give brugerne alle tilgængelige løsninger," Microsoft siger.
Normalt, når en Windows-bruger ser WerFault.exe køre, de tror måske, at der opstod en fejl. Men, i dette særlige tilfælde, udførelsen af denne fil betyder et målrettet malwareangreb. Det er bemærkelsesværdigt, at den samme teknik er blevet implementeret af NetWire RAT og Cerber ransomware.
Andre ondsindede aktiviteter set i denne filøse kampagne inkluderer kode tilsløring, DLL fungerer i flere tråde, sondering til sandkasse- og fejlfindingsmiljøer, og scanning af registreringsdatabasen for tilgængelige virtuelle VMWare-maskiner eller Oracle VirtualBox. Også, hvis der findes analyseaktiviteter, de vil blive opsagt.
Ukendte angribere står bag Kraken fileless angreb
Fordi den hårdkodede mål-URL til malware blev fjernet, mens forskerne foretog analysen, det er i øjeblikket umuligt at tilskrive angrebet til en bestemt trusselsgruppe. Men, nogle elementer i Kraken-angrebet minder om OceanLotus, en vietnamesisk APT-gruppe.
OceanLotus-malware Jeg har været fokuseret på at inficere specifikke netværk i målrettede angrebskampagner. Det kriminelle kollektiv bag det gennemfører kampagner mod både virksomhedsvirksomheder og offentlige agenturer i Asien: Laos, Cambodja, Vietnam, og Filippinerne. Hvad ved vi om disse særlige angreb er, at de er orkestreret af en meget erfaren hacking gruppe.
Hvorfor fileløs malware?
Ideen bag fileless malware er simpelt: hvis der allerede findes værktøjer på en enhed, såsom PowerShell.exe, at opfylde en angriberens mål, så hvorfor droppe brugerdefinerede værktøjer, der kunne blive markeret som malware? Hvis en cyberkriminelle kan overtage en proces, køre kode i sin hukommelse, og derefter bruge denne kode til at kalde værktøjer, der allerede er på en enhed, angrebet bliver snigende og næsten umuligt at opdage.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: