More_eggs Malware

O malware More_eggs é uma ameaça de Trojan de backdoor sofisticada, que está sendo oferecida em um esquema MaaS (Malware-as-a-Service). Acredita-se que o desenvolvedor da ameaça seja o grupo de hackers Golden Chickens, que conseguiu atrair vários grupos APT (Advanced Persistent Threat) importantes como clientes, incluindo o FIN6, Evilnum e Cobalt Group. Os recursos maliciosos do More_eggs permitem que a ameaça permaneça praticamente não detectada, permitindo que o grupo de hackers em particular aumente o ataque baixando diferentes cargas de malware em estágio final de acordo com seus objetivos específicos.

Emails Falsos de Oferta de Emprego Espalham o More_eggs Backdoor

O vetor de comprometimento inicial nas campanhas de ataque more_eggs é geralmente um e-mail de spear-phishing direcionado que contém um anexo de arquivo como arma. A última operação envolvendo essa ameaça de backdoor foi descoberta pela equipe de pesquisa da eSentire. De acordo com suas descobertas, um grupo de hackers até agora não identificado começou a atacar funcionários de alto escalão com ofertas de emprego falsas. O arquivo ZIP malicioso anexado ao e-mail tem o nome de uma posição de trabalho obtida do perfil do LinkedIn do alvo específico. Por exemplo, se o trabalho do usuário escolhido estiver listado como Gerente de Produto Sênior no LinkedIn, o arquivo zip pegaria a redação exata e adicionaria 'cargo' a ele - 'Gerente de Produto Sênior - cargo'. A abertura do arquivo inicia o processo de instalação do Trojan more_eggs sem arquivo.

A Corrente de Ataque

O processo de instalação do more_eggs passa por vários estágios e vários carregadores intermediários. Na primeira etapa, ao interagir com o arquivo entregue por meio do e-mail spearphishing, a vítima realmente executa o VenomLNK, um estágio inicial do Trojan more_eggs. VenomLNK abusa da Instrumentação de Gerenciamento do Windows para habilitar o carregador de plugin de próximo estágio chamado TerraLoader. Por sua vez, o TerraLoader sequestra os processos legítimos do Windows cmstp e regsvr32 . Para mascarar as atividades nefastas que acontecem em segundo plano, neste ponto a ameaça apresenta a sua vítima um documento do Word falso projetado para aparecer como um aplicativo de trabalho legítimo. Enquanto isso, TerraLoader prossegue com suas tarefas instalando msxsl no perfil de roaming do usuário alvo e carrega uma nova carga chamada TerraPreter de um arquivo de controle ActiveX obtido de Amazon Web Services.

O próximo estágio do ataque vê a carga útil do TerraPreter recém-estabelecida começando a se direcionar para um servidor de Comando e Controle (C2, C&C) por meio da cópia armada do mxsxl . O beacon alerta o agente da ameaça de que more_eggs está totalmente estabelecido no sistema da vítima e pronto para prosseguir. Os hackers podem então instruir a ameaça a baixar e executar cargas úteis de estágio final, como ransomware e infostealers, ou começar a exfiltrar dados confidenciais do usuário.

Campanhas Anteriores do More_eggs

As técnicas de prevenção de detecção de more_eggs, como a exploração de processos nativos do Windows, juntamente com a funcionalidade versátil, ajudaram o Golden Chickens a atrair vários grupos de hackers ATP como clientes. Os pesquisadores da Infosec viram a ameaça de backdoor sendo empregada por FIN6, Evilnum e o Grupo Cobalt. Embora todos os três possam ser descritos como tendo como alvo empresas do setor financeiro, suas operações são bastante diferentes. A FIN6 é especializada no roubo de dados de cartões de pagamento que são posteriormente vendidos em plataformas de comércio subterrâneas. Seus principais alvos são dispositivos POS (pontos de venda) e empresas de comércio eletrônico. A Evilnum, por outro lado, vai atrás de empresas de tecnologia financeira e fornecedores de plataformas de negociação de ações. Eles visam informações privadas confidenciais sobre a empresa infiltrada e seus clientes, roubando planilhas, listas de clientes, operações comerciais e credenciais de contas. O Cobalt Group também tem como alvo empresas financeiras e tem usado more_eggs em várias operações até agora.