MINEBRIDGE RAT

Aanvallen op beveiligingsonderzoekers lijken in populariteit toe te nemen onder cybercriminelen. Een bedreigingsgroep waarvan wordt aangenomen dat deze is begonnen met het uitvoeren van dergelijke aanvallen, is TA505. Er zijn aanwijzingen dat TA505 actief is sinds ten minste 2014. De groep staat erom bekend de MINEBRIDGE RAT te gebruiken bij haar activiteiten.

De nieuwste campagne maakt gebruik van een meertraps aanvalsketen die uiteindelijk de MINEBRIDGE RAT op het beoogde computersysteem implementeert. De hackers lokken hun slachtoffers met nepwerk-cv's (cv's) in de vorm van macrogebaseerde Word-documenten. Wanneer het wordt uitgevoerd, geeft het schadelijke bestand een bevestigingsbericht weer - 'Bestand met succes geconverteerd vanuit PDF', en toont het een hervatting van de taak die zogenaamd is verzonden door een analist van bedreigingsinformatie. Dit is echter slechts een lokmiddel, ontworpen om de aandacht van het slachtoffer weg te trekken van de onderliggende macrocode die een opdrachtregel op de achtergrond construeert die gecodeerde inhoud van een gespecificeerd IP-adres kan ophalen. Het gedownloade zelfuitpakkende (SFX) archief wordt neergezet in de map% appdata% van de gebruiker.

Een complexe meertrapsaanval levert MINEBRIDGE-RAT op

Het SFX-bestand vertegenwoordigt de eerste fase van de MINEBRIDGE RAT-aanvalsketen. Het wordt uitgevoerd via certutil.exe en resulteert in legitieme TeamViewer-binaire bestanden, verschillende DLL-bestanden en aanvullende documentbestanden die op het gecompromitteerde systeem worden neergezet. Een van de geleverde binaire bestanden met de naam 'defrender.exe' is verantwoordelijk voor het starten van de volgende fase van de aanval. Opgemerkt moet worden dat het binaire bestand is ontworpen om te verschijnen als een legitiem Windows Defender-binair bestand.

Fase 2 van de aanval omvat de uitvoering van de TeamViewer-applicatie die vervolgens wordt gedwongen om aan de DLL-zijde te laden. Het laadt het meegeleverde msi.dll-bestand dat op zijn beurt de shellcode uitpakt en uitvoert. De shellcode is belast met het afleveren van het UPX-verpakte binaire bestand van de uiteindelijke payload - MINEBRIDGE RAT.

Wanneer de dreiging volledig is ingezet, kunnen de aanvallers een breed scala aan kwaadaardige activiteiten uitvoeren. Ze kunnen de gecompromitteerde gebruikers bespioneren en extra malware-payloads inzetten. MINEBRIDGE RAT creëert drie afzonderlijke bedreigingen, elk belast met een andere verantwoordelijkheid:

C & C-communicatie tot stand brengen en het persistentiemechanisme inzetten
De inactieve status van het systeem controleren door de timing van de laatste invoer te controleren
Vermijd onbedoelde pop-ups van meldingen door het ShowNotificationDialog-proces te beëindigen

Het persistentiemechanisme van de dreiging wordt bereikt via een LNK-bestand met de naam 'Windows Logon.lnk' dat in de opstartdirectory van het systeem wordt neergezet.