More_eggs Malware
More_eggs-malware is een geavanceerde Trojan-bedreiging achter de deur die wordt aangeboden in een MaaS-schema (Malware-as-a-Service). Aangenomen wordt dat de ontwikkelaar van de dreiging de Golden Chickens-hackergroep is en zij hebben verschillende grote APT-groepen (Advanced Persistent Threat) als klanten kunnen aantrekken, waaronder FIN6, Evilnum en de Cobalt Group. De kwaadaardige mogelijkheden van More_eggs zorgen ervoor dat de dreiging grotendeels onopgemerkt blijft, terwijl de specifieke hackergroep de aanval kan escaleren door verschillende end-stage malware-payloads te downloaden in overeenstemming met hun specifieke doelen.
Valse e-mails met baanaanbiedingen verspreiden More_eggs Backdoor
De aanvankelijke compromisvector in de more_eggs-aanvalscampagnes is meestal een gerichte spear-phishing-e-mail die een bewapende bestandsbijlage bevat. De laatste operatie met deze achterdeurdreiging werd ontdekt door het onderzoeksteam van eSentire. Volgens hun bevindingen is een tot dusverre niet-geïdentificeerde hackergroep begonnen met het aanvallen van hooggeplaatste werknemers met nep-vacatures. Het kwaadaardige zip-bestand dat aan de e-mail is toegevoegd, is vernoemd naar een vacature uit het LinkedIn-profiel van het specifieke doelwit. Als de functie van de gekozen gebruiker bijvoorbeeld wordt vermeld als Senior Product Manager op LinkedIn, zou het zip-bestand de exacte bewoording krijgen en er 'positie' aan toevoegen - 'Senior Product Manager - positie'. Het openen van het archief start het installatieproces van de bestandsloze more_eggs Trojan.
Aanvalketen
Het installatieproces van more_eggs doorloopt meerdere fasen en verschillende tussenladers. In de eerste stap, door interactie met het bestand dat via de spearphishing-e-mail wordt afgeleverd, voert het slachtoffer VenomLNK uit, een eerste fase van de more_eggs-trojan. VenomLNK misbruikt Windows Management Instrumentation om de next-stage plugin loader genaamd TerraLoader mogelijk te maken. TerraLoader kaapt op zijn beurt de legitieme Windows-processen cmstp en regsvr32 . Om de snode activiteiten op de achtergrond te maskeren, presenteert de dreiging het slachtoffer op dit punt een lokdocument dat is ontworpen om te verschijnen als een legitieme werktoepassing. Ondertussen gaat TerraLoader verder met zijn taken door msxsl in het roamingprofiel van de beoogde gebruiker te installeren en een nieuwe payload genaamd TerraPreter te laden vanuit een ActiveX-besturingsbestand dat is opgehaald van Amazon Web Services.
In de volgende fase van de aanval begint de nieuw opgerichte TerraPreter-payload te bakenen naar een Command-and-Control-server (C2, C&C) via de bewapende kopie van mxsxl . Het baken waarschuwt de dreigingsacteur dat more_eggs volledig is vastgelegd in het systeem van het slachtoffer en klaar is om verder te gaan. De hackers kunnen vervolgens de dreiging instrueren om eindfase-payloads zoals ransomware en infostealers te downloaden en uit te voeren, of om gevoelige gebruikersgegevens te exfiltreren.
Vorige More_eggs-campagnes
De detectie-vermijdingstechnieken van more_eggs, zoals de exploitatie van native Windows-processen in combinatie met veelzijdige functionaliteit, hebben Golden Chickens geholpen om verschillende ATP-hackergroepen als klanten aan te trekken. Infosec-onderzoekers hebben gezien dat de achterdeurdreiging wordt toegepast door FIN6, Evilnum en de Cobalt Group. Hoewel ze alle drie kunnen worden omschreven als gericht op bedrijven in de financiële sector, zijn hun activiteiten behoorlijk verschillend. FIN6 heeft zich gespecialiseerd in diefstal van betaalkaartgegevens die later worden verkocht op ondergrondse handelsplatforms. Hun belangrijkste doelen zijn POS-apparaten (point-of-sale) en e-commercebedrijven. Evilnum daarentegen gaat achter financiële technologiebedrijven en aanbieders van aandelenhandelsplatforms aan. Ze richten zich op gevoelige privé-informatie over het geïnfiltreerde bedrijf en zijn klanten door spreadsheets, klantenlijsten, handelsactiviteiten en accountreferenties te stelen. Cobalt Group richt zich ook op financiële bedrijven en heeft tot dusver bij verschillende operaties more_eggs gebruikt.
