DirtyMoe-malware
De snelle stijging in populariteit, aangespoord door de nog indrukwekkendere waardestijgingen van verschillende cryptocurrencies, zette de voorheen nichesector in de publieke schijnwerpers. Bedreigingsactoren merkten de trend ook op en verlegden hun activiteiten snel naar misbruik ervan. Talloze botnets en malwaretools zijn gemaakt of uitgerust met cryptomining-mogelijkheden. De dreigingsactoren kunnen vervolgens de bronnen van duizenden gecompromitteerde systemen kapen en deze gebruiken om munten van een specifieke cryptocurrency te minen. Een van de nieuwste en meest geavanceerde malwaretools van dit type is de DirtyMoe-malware. Tot nu toe is de dreiging ingezet tegen doelen in Rusland, maar er zijn ook slachtoffers ontdekt in Europese en Aziatische landen. Volgens infosec-onderzoekers zijn er momenteel bijna honderdduizend machines die besmet zijn met DirtyMoe actief.
De eerste versies van DirtyMoe werden gevolgd door infosec-onderzoekers onder de naam NuggetPhantom en waren vaak onstabiel en gemakkelijk te vangen door cyberbeveiligingsproducten. Sindsdien heeft de malware echter een aanzienlijke evolutie ondergaan en is het nu een ongrijpbare, modulaire bedreiging die meerdere antidetectie- en anti-analysetechnieken vertoont.
De aanvalsketen van DirtyMoe begint met de hackers die op zoek zijn naar slachtoffers die kwetsbaar zijn voor verschillende exploits. Een daarvan is de beruchte EternalBlue -kwetsbaarheid (CVE-2017-0144) die in 2017 opdook, maar blijkbaar zijn er genoeg onbeveiligde systemen over om ervoor te zorgen dat bedreigingsactoren het de moeite waard vinden om deze te blijven misbruiken bij hun schadelijke operaties. Een andere van de exploits waar DirtyMoe de voorkeur aan geeft, is het Scripting Engine Memory Corruption Vulnerability (CVE-2020-0674) gevonden in Internet Explorer. Slachtoffers worden gelokt via phishing-e-mails met onveilige URL's.
Modulaire structuur
Het belangrijkste kenmerk van de DirtyMoe-malware is de modulariteit. Het hoofdbestanddeel is DirtyMoe Core. Het is verantwoordelijk voor het downloaden, bijwerken, versleutelen, het maken van back-ups en het beschermen van de DirtyMoe-dreiging. De Core heeft ook de taak om een beschadigde code naar de DirtyMoe Executioner te sturen, die deze vervolgens, zoals de naam al doet vermoeden, zal uitvoeren. De geïnjecteerde code heet ofwel MOE Object of Module en wordt opgehaald van de Command-and-Control-server van de operatie.
Het specifieke gedrag van de malwarebedreiging kan verder worden aangepast aan de doelen van de bedreigingsactoren. De cybercriminelen kunnen DirtyMoe opdracht geven om een versleutelde lading met de gewenste functionaliteit te downloaden en deze vervolgens in zichzelf te injecteren. In een paar uur kunnen duizenden exemplaren van DirtyMoe op deze manier worden gewijzigd. DirtyMoe kan inderdaad worden gebruikt om DDoS-aanvallen uit te voeren, cryptomining-activiteiten uit te voeren of extra bedreigende payloads te leveren, zoals gegevensverzamelaars, ransomware, Trojaanse paarden en meer.
Krachtige verbergende en zelfverdedigingsmogelijkheden
DirtyMoe gebruikt VMProtect om de belangrijkste bedreigende kern te beschermen. Het maakt ook gebruik van een Windows-stuurprogramma dat verschillende functionaliteiten vertoont die gewoonlijk in rootkits worden gevonden, zoals service, registervermelding en het verbergen van stuurprogramma's. Het stuurprogramma kan verder worden geïnstrueerd om specifieke bestanden op het systeemvolume van de geïnfecteerde machine te verbergen of willekeurige DLL's in nieuw aangemaakte processen te injecteren. Netwerkcommunicatie wordt ook bereikt door een krachtige techniek. De dreiging bevat een set hardgecodeerde DNS-servers die worden gebruikt om een DNS-verzoek in te dienen bij één hardgecodeerd domein. Voor het uiteindelijke IP-adres en de poort gebruikt DirtyMoe echter een andere reeks DNS-verzoeken. Als gevolg hiervan wordt DirtyMoe resistent tegen het blokkeren van het uiteindelijke IP-adres. Het is ook praktisch onrealistisch om DNS-verzoeken naar DNS-servers zoals Google, Cloudflare en vergelijkbare services te blokkeren.
