TEARDROP Malware

Tegen Mezo in Malware, Remote Administration Tools, Trojan Downloader

Vertalen naar:

TEARDROP is een van de malwarebedreigingen die worden gebruikt in de supply chain-aanval op het Orion-platform van Solarwind. De dreigingsacteur ontketende een hele reeks verschillende dreigingstools in overeenstemming met de specifieke doelen van de operatie en het specifieke geïnfecteerde doelwit. De nooit eerder vertoonde TEARDROP-malware fungeerde als een dropper in de tweede fase, belast met de levering van een volgende fase: het Cobalt Strike Beacon-implantaat (versie 4). Opgemerkt moet worden dat Cobalt Strike een legitieme Remote Access Tool is die is ontworpen om te worden gebruikt in penetratietests. Door zijn uitgebreide reeks krachtige functies is het echter een populair onderdeel geworden van het arsenaal van meerdere hackergroepen. Met Cobalt Strike kan een potentiële bedreigingsacteur bijna volledige controle krijgen over het gecompromitteerde systeem. De RAT (Remote Access Tool) kan de opdracht krijgen om keylogging-routines vast te stellen, willekeurige opnamen op het systeem te maken, extra schadelijke ladingen af te leveren, het bestandssysteem te manipuleren en geselecteerde gevoelige gegevens te exfiltreren naar externe servers via gecodeerde tunnels.

De structuur van TEARDROP Malware

De TEARDROP-dropper is een bedreigende 64-bit Dynamic-Link Library (DLL) die volledig in het geheugen werkt zonder bestanden op schijf te schrijven. Het werkt als een service, spawt een thread en leest de eerste 64 bytes van een bestand met de naam ' feestelijke_computer.jpg '. De gegevens zijn nergens voor nodig en de dreiging zal doorgaan met zijn activiteiten, zelfs zonder het bestand 'feestelijk_computer.jpg '. De werkelijke naam van het bestand kan variëren, aangezien sommige infosec-onderzoekers andere versies hebben ontdekt, zoals ' gracious_truth.jpg '.

De volgende stap voor de TEARDROP-malware is het controleren op de aanwezigheid van HKU \ SOFTWARE \ Microsoft \ CTF en het decoderen van de ingesloten Cobalt Strike beacon-payload via een aangepast XOR-algoritme. Ten slotte laadt de dropper de ingebouwde payload in het geheugen via een aangepast PE-achtig formaat.

TEARDROP is nauw verwant aan een andere druppelfamilie die werd waargenomen in dezelfde supply chain-aanval, genaamd Raindrop. De twee bedreigingen hebben identieke functionaliteiten en aanzienlijke overlappingen virtueel, en ze vertonen enkele belangrijke verschillen. De grootste onderscheidende factor tussen de twee malwarefamilies is het gebruik van een andere packer voor Raindrop .

Zoeken

Veranderen van regio

TEARDROP Malware

Commentaar toevoegen

Trending

Safe Search Eng

MarioLocker Ransomware

MijnWallPaper

Meest bekeken

Is Lookmovie.io veilig?

Hoe de fout 'Printerstuurprogramma is niet...

Discord toont zwart scherm bij delen van scherm