Threat Database Malware MESSAGEMANIFOLD Malware

MESSAGEMANIFOLD Malware

De MESSAGEMANIFOLD Malware is een nieuw ontdekte malwarestam die wordt waargenomen als onderdeel van het arsenaal van een nog niet geïdentificeerde hackergroep. De nieuwste campagne waarin de malwarebedreiging werd ingezet, werd ingezet tegen de Tibetaanse gemeenschap, maar eerder dit jaar, in mei 2020, werd waargenomen dat MESSAGEMANIFOLD zich richtte op Taiwanese wetgevers.

De aanvalsketen van de dreiging begint met de verspreiding van zeer gerichte spear-phishing-e-mails. Om de maximale betrokkenheid van de geselecteerde doelen te bereiken, werden de e-mails zo gemaakt dat ze verschijnen als uitnodigingen voor activiteiten die belangrijk zijn voor de Tibetaanse gemeenschap, zoals conferenties. De hoofdtekst van de e-mails bevatte een of twee Google Drive-links die een download van beschadigde uitvoerbare bestanden met de naam 'dalailama-Invitations.exe' initieerden. De bestanden fungeerden als droppers in de eerste fase - bij uitvoering wordt een nep-Windows-foutbericht weergegeven om de aandacht af te leiden van het feit dat een tweede uitvoerbaar bestand in de map 'C: \ users | Public' wordt neergezet. De verbinding met de Command-and-Control (C2, C&C) -infrastructuur wordt tot stand gebracht via HTTP POST-verzoeken. Onderzoekers van Infosec hebben vastgesteld dat een specifieke reactie van de C2-server vereist kan zijn voordat de malware door kan gaan naar de volgende fase van infectie.

De twee campagnes waarvan is vastgesteld dat ze betrekking hebben op de MESSAGEMANIFOLD Malware, vertonen nogal wat overlappingen tussen elkaar, wat suggereert dat dezelfde groep hackers verantwoordelijk is voor beide. Alle domeinen die bij de campagnes betrokken waren, werden bijvoorbeeld gehost op AS 42331 (PE Freehost) en AS 42159 (Zemlyaniy Dmitro Leonidovich), beschikbaar voor aankoop via Deltahost, een Oekraïense hostingprovider. Door het e-mailadres 'diir.tibet.net@mail.ru' te gebruiken dat werd gebruikt om de twee C2-domeinen te registreren, ontdekten de onderzoekers van Insikt Group drie extra domeinen met een Tibet-thema - in-tibet.net, mail-tibet .net en dalailama.online. Alle ongedekte domeinen zijn geregistreerd via dezelfde domeinreseller - Domenburg.

De eigenaardige aspecten van de twee aanvalscampagnes ondersteunen het vermoeden dat de groep hackers erachter door de staat gesponsord zou kunnen zijn. Inderdaad, de zeer gerichte aard van de slachtoffers, het lage aantal operaties dat aan de groep wordt toegeschreven en het schijnbare gebrek aan financiële motivatie ondersteunen die theorie. Bovendien kunnen de strategische betekenis van de doelen en het feit dat zowel Taiwan als de Tibetaanse regio lange tijd geconcentreerde Chinese belangen zijn geweest, ook een belangrijke aanwijzing kunnen zijn bij het bepalen van de loyaliteit van hackers.

Trending

Meest bekeken

Bezig met laden...