Licenties voor meerdere apparaten (volumekortingen)

Veranderen van regio

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Trojan Downloader SkinnyBoy-malware

SkinnyBoy-malware

Tegen CagedTech in Trojan Downloader
Vertalen naar:
Nederlands

Infosec-experts van het onderzoeksbureau Cluster 25 hebben een nieuwe spear-phishing-campagne ontdekt die is ingezet tegen strategische entiteiten. Als onderdeel van de aanvalsketen ontdekten de onderzoekers een nieuwe malwarebedreiging die optrad als een mid-stage downloader die de laatste bedreigende payload op gehackte systemen moest leveren. De malware, genaamd SkinnyBoy, wordt toegeschreven aan het schadelijke arsenaal van de Russisch sprekende APT28- bende. Deze specifieke dreigingsactor wordt ook aangepakt onder de namen Fancybear, Sednit, Strontium, PwnStorm en Sofacy.

SkinnyBoy-kenmerken

De SkinnyBoy-aanval begint met de levering van phishing-e-mails met lokaas. Slachtoffers krijgen een valse uitnodiging voor een internationaal wetenschappelijk evenement dat eind juli in Spanje zou plaatsvinden. Bij de e-mail is een bewapend Microsoft-document gevoegd dat een beschadigde macro bevat. Na activering extraheert de macro een malware-downloader in de vorm van een DLL-bestand.

SkinnyBoy wordt naast het geïnfecteerde systeem afgeleverd. De dreiging arriveert als een bestand met de naam 'tpd1.exe.' Eenmaal gestart, probeert SkinnyBoy een persistentiemechanisme tot stand te brengen door een LNK-bestand te maken onder de Windows Startup-map. Telkens wanneer het gecompromitteerde systeem opnieuw wordt opgestart, wordt de LNK geactiveerd en begint het te zoeken naar het belangrijkste SkinnyBoy-payloadbestand 'TermSrvClt.dll.' Het doet dit door de SHA256-hash te scannen van elk bestand dat is opgeslagen op de locatie C:\Users\%gebruikersnaam%\AppData\Local.

De kerntaak van SkinnyBoy is het afleveren van de uiteindelijke payload op de geïnfecteerde systemen. Hoewel de dreiging aanwezig is op het systeem, verzamelt hij ook specifieke informatie door gebruik te maken van de Windows-hulpprogramma's 'systeminfo.exe' en 'tasklist.exe'. Gegevens worden verzameld uit de volgende bestanden en locaties:

  • C:\Gebruikers\%gebruikersnaam%\Desktop
  • C:\Program Files - C:\Program Files (x86)
  • C:\Users\%gebruikersnaam%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
  • C:\Gebruikers\%gebruikersnaam%\AppData\Roaming
  • C:\Users\%gebruikersnaam%\AppData\Roaming\Microsoft\Windows\Templates
  • C:\Windows - C:\Users\gebruiker\AppData\Local\Temp

De informatie die door SkinnyBoy wordt verzameld, wordt vervolgens georganiseerd, gecodeerd in base64-indeling en geëxfiltreerd naar de Command-and-Control-servers van de operatie.

Slachtoffers van skinnyboys

De SkinnyBoy-malware is tot nu toe ingezet tegen een groot aantal potentiële slachtoffers. Het lijkt erop dat APT28 zich voornamelijk richt op overheidsinstanties zoals ministeries van buitenlandse zaken, defensie-industrie-entiteiten, ambassades en organisaties in de militaire sector. Hoewel verschillende van de slachtoffers zich in de Europese Unie bevonden, kan APT28 op grotere schaal opereren, waarbij de aanval mogelijk ook Amerikaanse organisaties treft.

Trending

Meest bekeken

Bezig met laden...