More_eggs Malware

More_eggs malware er en sofistikeret Trojan-trussel bagud, der tilbydes i et MaaS-program (Malware-as-a-Service). Udvikleren af truslen menes at være Golden Chickens-hackergruppen, og de har været i stand til at tiltrække flere store APT-grupper (Advanced Persistent Threat) som klienter, herunder FIN6, Evilnum og Cobalt Group. More_eggs's ondsindede kapaciteter tillader, at truslen for det meste forbliver uopdaget, samtidig med at den bestemte hackergruppe kan eskalere angrebet ved at downloade forskellige sluttrin malware-nyttelast i overensstemmelse med deres specifikke mål.

Falske jobtilbud e-mails spredt More_eggs bagdør

Den indledende kompromisvektor i angrebskampagnerne more_eggs er normalt en målrettet spyd-phishing-e-mail, der bærer en våbeniseret vedhæftet fil. Den seneste operation, der involverede denne bagdørstrussel, blev afdækket af forskergruppen på eSentire. Ifølge deres fund er en hidtil uidentificeret hackergruppe begyndt at målrette højtstående medarbejdere med falske jobtilbud. Den ondsindede zip-fil, der er knyttet til e-mailen, er opkaldt efter en jobposition taget fra det specifikke måls LinkedIn-profil. For eksempel, hvis den valgte brugers job er angivet som Senior Product Manager på LinkedIn, vil zip-filen tage den nøjagtige ordlyd og tilføje 'position' til den - 'Senior Product Manager - position.' Åbning af arkivet starter installationsprocessen for den fileless more_eggs Trojan.

Angrebskæde

Installationsprocessen for more_eggs gennemgår flere trin og flere mellemlæssere. I det første trin, ved at interagere med filen leveret via spearphishing-e-mailen, kører offeret faktisk VenomLNK, en indledende fase af den mere_eggs Trojan. VenomLNK misbruger Windows Management Instrumentation for at aktivere næste trin plugin loader ved navn TerraLoader. Til gengæld kaprer TerraLoader de legitime Windows-processer cmstp og regsvr32 . For at skjule de skæve aktiviteter, der foregår i baggrunden, præsenterer truslen sit offer et lokkemiddel-Word-dokument designet til at fremstå som en legitim arbejdsapplikation. I mellemtiden fortsætter TerraLoader med sine opgaver ved at installere msxsl i den målrettede brugers roamingprofil og indlæser en ny nyttelast ved navn TerraPreter fra en ActiveX-kontrolfil hentet fra Amazon Web Services.

Den næste fase af angrebet ser, at den nyetablerede TerraPreter-nyttelast begynder at lyse til en Command-and-Control (C2, C&C) -server gennem den våbenkopi af mxsxl. Fyret advarer trusselsaktøren om, at more_eggs er fuldt etableret på offerets system og er klar til at fortsætte. Hackerne kan derefter instruere truslen om at downloade og udføre sluttrinnets nyttelast som ransomware og infostealere eller at begynde at exfiltrere følsomme brugerdata.

Forrige Mere_eggs-kampagner

Teknikkerne til detektering-undgåelse af more_eggs såsom udnyttelse af native Windows-processer kombineret med alsidig funktionalitet har hjulpet Golden Chickens tiltrække flere ATP-hackergrupper som klienter. Infosec-forskere har set bagdørstruslen blive ansat af FIN6, Evilnum og Cobalt Group. Selvom alle tre kan beskrives som målrettet mod virksomheder i den finansielle sektor, er deres operationer meget forskellige. FIN6 har specialiseret sig i tyveri af betalingskortdata, der senere sælges på underjordiske handelsplatforme. Deres hovedmål er POS-enheder (e-salgssteder) og e-handelsvirksomheder. På den anden side følger Evilnum efter finansielle teknologivirksomheder og udbydere af aktiehandelsplatforme. De målretter følsomme private oplysninger om den infiltrerede virksomhed og dens kunder ved at stjæle regneark, kundelister, handelsoperationer og kontooplysninger. Cobalt Group er også målrettet mod finansielle virksomheder og har hidtil brugt more_eggs i flere operationer.