More_eggs Malware

More_eggs to wyrafinowane zagrożenie trojańskie typu backdoor, oferowane w ramach schematu MaaS (Malware-as-a-Service). Uważa się, że twórcą zagrożenia jest grupa hakerów Golden Chickens i udało im się przyciągnąć kilka głównych grup APT (Advanced Persistent Threat) jako klientów, w tym FIN6, Evilnum i Cobalt Group. Złośliwe możliwości More_eggs pozwalają, aby zagrożenie pozostawało w większości niewykryte, jednocześnie pozwalając określonej grupie hakerów na eskalację ataku poprzez pobieranie różnych ładunków szkodliwego oprogramowania na końcowym etapie zgodnie z ich określonymi celami.

Fałszywe wiadomości e-mail z ofertami pracy Rozprzestrzeniaj More_eggs Backdoor

Początkowym wektorem kompromisu w kampaniach ataków more_eggs jest zwykle ukierunkowana wiadomość e-mail służąca do phishingu spear, zawierająca uzbrojony załącznik w postaci pliku. Najnowszą operację związaną z tym zagrożeniem typu backdoor odkrył zespół badawczy eSentire. Z ich ustaleń wynika, że do tej pory niezidentyfikowana grupa hakerów zaczęła atakować wysoko postawionych pracowników fałszywymi ofertami pracy. Szkodliwy plik zip dołączony do wiadomości e-mail nosi nazwę stanowiska pracy wziętego z profilu LinkedIn określonego celu. Na przykład, jeśli stanowisko wybranego użytkownika jest wymienione jako starszy menedżer produktu na LinkedIn, plik zip powinien zawierać dokładne sformułowanie i dodać do niego „stanowisko” - „Starszy menedżer produktu - stanowisko”. Otwarcie archiwum inicjuje proces instalacji bezplikowego trojana more_eggs.

Łańcuch ataku

Proces instalacji more_eggs przechodzi przez wiele etapów i kilka pośrednich programów ładujących. W pierwszym kroku, wchodząc w interakcję z plikiem dostarczonym za pośrednictwem wiadomości e-mail spearphishingowej, ofiara faktycznie uruchamia VenomLNK, początkowy etap trojana more_eggs. VenomLNK nadużywa Instrumentacji zarządzania Windows, aby włączyć program ładujący wtyczki następnego etapu o nazwie TerraLoader. Z kolei TerraLoader przejmuje legalne procesy Windows cmstp i regsvr32 . Aby zamaskować nikczemne działania zachodzące w tle, w tym momencie zagrożenie przedstawia swojej ofierze zwodniczy dokument Word, który ma wyglądać jak legalna aplikacja do pracy. W międzyczasie TerraLoader kontynuuje swoje zadania, instalując msxsl w profilu mobilnym użytkownika docelowego i ładuje nowy ładunek o nazwie TerraPreter z pliku kontrolnego ActiveX pobranego z Amazon Web Services.

W kolejnym etapie ataku nowo utworzony ładunek TerraPreter zaczyna przesyłać sygnał nawigacyjny do serwera Command-and-Control (C2, C&C) za pośrednictwem uzbrojonej kopii mxsxl . Sygnał ostrzegawczy ostrzega podmiot zagrażający, że more_eggs jest w pełni zainstalowany w systemie ofiary i jest gotowy do kontynuowania. Hakerzy mogą następnie poinstruować zagrożenie, aby pobrało i wykonało ładunki na końcowym etapie, takie jak oprogramowanie ransomware i wykrywacze informacji, lub rozpoczęło eksfiltrację poufnych danych użytkownika.

Poprzednie kampanie More_eggs

Techniki wykrywania i unikania more_eggs, takie jak wykorzystywanie natywnych procesów Windows w połączeniu z wszechstronną funkcjonalnością, pomogły Golden Chickens przyciągnąć kilka grup hakerów ATP jako klientów. Badacze Infosec zauważyli, że zagrożenie backdoorem jest wykorzystywane przez FIN6, Evilnum i Cobalt Group. Chociaż wszystkie trzy można opisać jako ukierunkowane na firmy z sektora finansowego, ich działalność jest zupełnie inna. FIN6 specjalizuje się w kradzieży danych kart płatniczych, które są później sprzedawane na podziemnych platformach handlowych. Ich głównym celem są urządzenia POS (punkty sprzedaży) i firmy eCommerce. Z drugiej strony Evilnum podąża za firmami technologicznymi finansowymi i dostawcami platform obrotu giełdowego. Celują w poufne prywatne informacje o infiltrowanej firmie i jej klientach, kradnąc arkusze kalkulacyjne, listy klientów, operacje handlowe i dane uwierzytelniające konta. Grupa Cobalt skupia się również na firmach finansowych i do tej pory używała more_eggs w kilku operacjach.