Threat Database Backdoors More_eggs Malware

More_eggs Malware

More_eggs malware är ett sofistikerat bakdörr Trojan-hot som erbjuds i ett MaaS-program (Malware-as-a-Service). Utvecklaren av hotet antas vara Golden Chickens-hackargruppen och de har kunnat locka flera stora APT-grupper (Advanced Persistent Threat) som kunder inklusive FIN6, Evilnum och Cobalt Group. De skadliga funktionerna i More_eggs gör att hotet förblir oupptäckt samtidigt som den specifika hackargruppen kan eskalera attacken genom att ladda ner olika slutstegs skadliga nyttolast i enlighet med deras specifika mål.

Falskt jobbbjudande E-postmeddelanden sprids More_eggs Backdoor

Den ursprungliga kompromissvektorn i attackkampanjerna more_eggs är vanligtvis ett riktat spjutfiske-e-postmeddelande som innehåller en vapensatt filbilaga. Den senaste operationen med detta bakdörrhot avslöjades av forskargruppen på eSentire. Enligt deras resultat har en hittills oidentifierad hackargrupp börjat rikta höga anställda med falska jobberbjudanden. Den skadliga zip-filen som bifogas e-postmeddelandet har fått sitt namn efter en jobbposition från det specifika målets LinkedIn-profil. Till exempel, om den valda användarens jobb listas som Senior Product Manager på LinkedIn, tar zip-filen den exakta formuleringen och lägger till "position" till den - "Senior Product Manager - position." Öppning av arkivet startar installationsprocessen för fileless more_eggs Trojan.

Attack Chain

Installationsprocessen för more_eggs går igenom flera steg och flera mellanlastare. I det första steget, genom att interagera med filen som levereras via spearphishing-e-postmeddelandet, kör offret faktiskt VenomLNK, ett inledande skede av more_eggs Trojan. VenomLNK missbrukar Windows Management Instrumentation för att aktivera nästa stegs plugin loader med namnet TerraLoader. I sin tur kapar TerraLoader de legitima Windows-processerna cmstp och regsvr32 . För att dölja de olyckliga aktiviteter som pågår i bakgrunden, presenterar hotet vid sitt tillfälle sitt offer ett lura-Word-dokument som är utformat för att framstå som en legitim arbetsapplikation. Under tiden fortsätter TerraLoader med sina uppgifter genom att installera msxsl i den riktade användarens roamingprofil och laddar en ny nyttolast med namnet TerraPreter från en ActiveX-kontrollfil som hämtas från Amazon Web Services.

Nästa steg i attacken ser att den nyetablerade TerraPreter-nyttolasten börjar leda till en Command-and-Control (C2, C&C) -server genom den vapenkopia av mxsxl . Fyren varnar hotaktören om att more_eggs är helt etablerad i offrets system och är redo att fortsätta. Hackarna kan sedan instruera hotet att ladda ner och köra slutstegs nyttolaster som ransomware och infostealers eller att börja exfiltrera känslig användardata.

Tidigare More_eggs-kampanjer

Detekterings-undvikande tekniker för more_eggs såsom utnyttjande av inbyggda Windows-processer i kombination med mångsidig funktionalitet har hjälpt Golden Chickens attrahera flera ATP-hackargrupper som klienter. Infosec-forskare har sett bakdörrhotet som används av FIN6, Evilnum och Cobalt Group. Även om alla tre kan beskrivas som riktade till företag i den finansiella sektorn är deras verksamhet helt annorlunda. FIN6 har specialiserat sig på stöld av betalkortdata som senare säljs på underjordiska handelsplattformar. Deras huvudsakliga mål är POS-enheter (försäljningsställ) och e-handelsföretag. Evilnum å andra sidan följer finansiella teknikföretag och leverantörer av aktiehandelsplattformar. De riktar sig mot känslig privat information om det infiltrerade företaget och dess kunder genom att stjäla kalkylark, kundlistor, handelsverksamhet och kontoinformation. Cobalt Group riktar sig också till finansiella företag och har hittills använt more_eggs i flera verksamheter.

Trendigt

Mest sedda

Läser in...