NuggetPhantom Malware
NuggetPhantom is de naam die wordt gegeven aan een gemodulariseerde malwaretoolkit. Infosec-onderzoekers associëren deze nieuw gedetecteerde operatie met de activiteit van een enkele bedreigingsacteur die tot dusver verantwoordelijk was voor het uitvoeren van verschillende aanvalscampagnes. De eerste operatie van de groep vond plaats eind 2016 toen klanten van Tianyi Campus het doelwit waren van malware, waardoor een Blue Screen of Death (BSOD) -fout op de getroffen computers werd veroorzaakt. In een daaropvolgende campagne die opnieuw gericht was op klanten van Tianyi Campus, plaatsten de hackers cryptomining-payloads op de gecompromitteerde systemen. De nieuw ontdekte activiteit omvat ook de levering van cryptomining-malware.
De aanvalsketen begint met de hackers die zoeken naar computersystemen die nog steeds kwetsbaar zijn voor de EternalBlue-exploit en deze selecteren. Vervolgens maken ze op maat gemaakte payloads voor de specifieke kwetsbare systemen. Potentiële slachtoffers worden één voor één aangevallen met een downloader-payload die misbruik maakt van de EternalBlue-kwetsbaarheid. De downloader zelf vertoont verschillende geavanceerde kenmerken die hem helpen potentiële antimalwaretechnieken te bestrijden. Bovendien is het uitgerust met verschillende stealth-technieken waarmee de dreiging gedragsdetectie en verkeersanalyse kan omzeilen. De sterk modulaire structuur geeft hackers de mogelijkheid om alleen de specifieke beschadigde processen aan te roepen en uit te voeren die nodig zijn voor de huidige operatie, waardoor de totale voetafdruk van de toolkit wordt verkleind. Bij volledige implementatie werd de NuggetPhantom Malware gedetecteerd om te worden gebruikt voor cryptomining via de computerbronnen van het slachtoffer en voor het uitvoeren van DDoS-aanvallen (Distributed Denial-of-Service).
De dreigingsacteur heeft zijn tactieken, technieken en procedures (TTP's) in de loop van de tijd aangepast. Volgens de laatste waarnemingen van infosec-experts hechten de hackers er nu meer waarde aan om onopgemerkt te blijven en langer vol te houden op de beoogde computers om de maximale potentiële geldwinst te behalen, maar hun activiteiten vrij snel te ontdekken en te worden stilgelegd.
