More_eggs Malware

Il malware More_eggs è una sofisticata minaccia Trojan backdoor offerta in uno schema MaaS (Malware-as-a-Service). Si ritiene che lo sviluppatore della minaccia sia il gruppo di hacker Golden Chickens e sono stati in grado di attrarre diversi importanti gruppi APT (Advanced Persistent Threat) come clienti tra cui FIN6, Evilnum e Cobalt Group. Le capacità dannose di More_eggs consentono alla minaccia di rimanere per lo più inosservata, consentendo al contempo al particolare gruppo di hacker di intensificare l'attacco scaricando diversi payload di malware allo stadio finale in conformità con i loro obiettivi specifici.

Le e-mail con offerte di lavoro fasulle si diffondono in backdoor

Il vettore di compromissione iniziale nelle campagne di attacco more_eggs è solitamente un'e-mail di spear phishing mirata che contiene un allegato di file armato. L'ultima operazione che coinvolge questa minaccia backdoor è stata scoperta dal team di ricerca di eSentire. Secondo i loro risultati, un gruppo di hacker finora non identificato ha iniziato a prendere di mira dipendenti di alto rango con false offerte di lavoro. Il file zip dannoso allegato all'e-mail prende il nome da una posizione lavorativa presa dal profilo LinkedIn del target specifico. Ad esempio, se il lavoro dell'utente scelto è elencato come Senior Product Manager su LinkedIn, il file zip prenderebbe la formulazione esatta e aggiungerebbe "posizione" - "Senior Product Manager - posizione". L'apertura dell'archivio avvia il processo di installazione del trojan fileless more_eggs.

Catena d'attacco

Il processo di installazione di more_eggs passa attraverso più fasi e diversi caricatori intermedi. Nella prima fase, interagendo con il file consegnato tramite l'e-mail di spearphishing, la vittima esegue effettivamente VenomLNK, una fase iniziale del trojan more_eggs. VenomLNK abusa di Strumentazione gestione Windows per abilitare il caricatore di plug-in della fase successiva denominato TerraLoader. A sua volta, TerraLoader dirotta i processi Windows legittimi cmstp e regsvr32 . Per mascherare le attività nefaste in corso in background, a questo punto la minaccia presenta alla sua vittima un falso documento Word concepito per apparire come una legittima applicazione di lavoro. Nel frattempo, TerraLoader procede con le sue attività installando msxsl nel profilo di roaming dell'utente mirato e carica un nuovo payload denominato TerraPreter da un file di controllo ActiveX recuperato da Amazon Web Services.

La fase successiva dell'attacco vede il nuovo payload TerraPreter che inizia a essere trasmesso a un server Command-and-Control (C2, C&C) attraverso la copia armata di mxsxl . Il beacon avvisa l'attore della minaccia che more_eggs è completamente installato nel sistema della vittima ed è pronto a procedere. Gli hacker possono quindi istruire la minaccia a scaricare ed eseguire payload finali come ransomware e infostealer o iniziare a esfiltrare dati sensibili degli utenti.

Campagne More_eggs precedenti

Le tecniche di prevenzione del rilevamento di more_eggs come lo sfruttamento dei processi nativi di Windows insieme a funzionalità versatili hanno aiutato Golden Chickens ad attrarre diversi gruppi di hacker ATP come clienti. I ricercatori di Infosec hanno visto la minaccia backdoor impiegata da FIN6, Evilnum e Cobalt Group. Sebbene tutti e tre possano essere descritti come rivolti alle società del settore finanziario, le loro operazioni sono piuttosto diverse. FIN6 è specializzata nel furto di dati di carte di pagamento che vengono successivamente venduti su piattaforme commerciali sotterranee. I loro obiettivi principali sono i dispositivi POS (point-of-sale) e le società di e-commerce. Evilnum, d'altra parte, si rivolge a società di tecnologia finanziaria e fornitori di piattaforme di trading azionario. Prendono di mira informazioni private sensibili sull'azienda infiltrata e sui suoi clienti rubando fogli di calcolo, elenchi di clienti, operazioni di trading e credenziali dell'account. Cobalt Group si rivolge anche alle società finanziarie e finora ha utilizzato more_eggs in diverse operazioni.