MESSAGEMANIFOLD Malware

MESSAGEMANIFOLD Malware er en nyopdaget malware-stamme observeret som en del af arsenalet i en hidtil ukendt hackergruppe. Den seneste kampagne, der implementerede malware-truslen, blev udnyttet mod det tibetanske samfund, men tidligere i år, i maj 2020, blev MESSAGEMANIFOLD observeret rettet mod taiwanske lovgivere.

Trusselsens angrebskæde begynder med formidling af meget målrettede spear-phishing e-mails. For at fremkalde det maksimale engagement fra de valgte mål blev e-mails udformet til at fremstå som invitationer til aktiviteter, der er vigtige for det tibetanske samfund, såsom konferencer. Teksten til e-mails indeholdt et eller to Google Drive-links, der startede en download af beskadigede eksekverbare filer med navnet 'dalailama-Invitations.exe.' Filerne fungerede som dropper i første trin - efter udførelse vises en falsk Windows-fejlmeddelelse for at fjerne opmærksomheden fra det faktum, at en anden eksekverbar fil tabes i mappen 'C: \ brugere | Offentlig'. Forbindelse med Command-and-Control (C2, C&C) -infrastrukturen oprettes via HTTP POST-anmodninger. Infosec-forskere fastslog, at et specifikt svar fra C2-serveren muligvis kræves, før malware kan fortsætte til næste infektionsfase.

De to kampagner, der observeres involverer MESSAGEMANIFOLD Malware, viser en hel del overlapninger mellem hinanden, hvilket tyder på, at den samme gruppe hackere er ansvarlig for dem begge. For eksempel var alle de domæner, der var involveret i kampagnerne, hostet på AS 42331 (PE Freehost) og AS 42159 (Zemlyaniy Dmitro Leonidovich), der kan købes via Deltahost, en ukrainsk hostingudbyder. Ved at tage e-mail-adressen 'diir.tibet.net@mail.ru', der blev brugt til at registrere de to C2-domæner, førte forskerne ved Insikt Group til opdagelsen af yderligere tre Tibet-tema-domæner - in-tibet.net, mail-tibet .net og dalailama.online. Alle de udækkede domæner blev registreret gennem den samme domænereseller - Domenburg.

De ejendommelige aspekter af de to angrebskampagner understøtter formodningen om, at gruppen af hackere bag dem kunne være statsstøttet. Faktisk understøtter denne teori den højt målrettede karakter af ofrene, den lave mængde operationer, der tilskrives gruppen og den tilsyneladende manglende økonomiske motivation. Desuden kunne målsætningenes strategiske betydning og det faktum, at både Taiwan og den tibetanske region længe har været punkter med koncentrerede kinesiske interesser, kunne også være et vigtigt spor, når man bestemmer hackernes troskab.