Cybersicherheitsforscher haben eine Verbindung zwischen dem berüchtigten Fernzugriffstrojaner (RAT) DarkGate und der in Vietnam ansässigen Finanz-Cyberkriminalität hinter dem Ducktail-Infostealer aufgedeckt.
Mit den Forschern von Secure, die hat die Aktivität von Ducktail im Jahr 2022 entdeckt, begannen ihre Ermittlungen zu DarkGate, nachdem sie mehrere Infektionsversuche gegen Organisationen in Großbritannien, den USA und Indien festgestellt hatten.
„Es stellte sich schnell heraus, dass die Lockdokumente und das Targeting den jüngsten Ducktail-Infostealer-Kampagnen sehr ähnlich waren, und es war möglich, mithilfe von Open-Source-Daten aus der DarkGate-Kampagne auf mehrere andere Infostealer umzusteigen, die sehr wahrscheinlich von demselben Akteur/dieselben Gruppen verwendet werden.“ “, heißt es in dem Bericht.
DarkGates Verbindungen zu Ducktail
DarkGate ist Backdoor-Malware ist zu einer Vielzahl bösartiger Aktivitäten fähig, darunter Informationsdiebstahl, Kryptojacking und die Verwendung von Skype, Teams und Nachrichten zur Verbreitung von Malware.
Die Malware kann eine Vielzahl von Daten von infizierten Geräten stehlen, darunter Benutzernamen, Passwörter, Kreditkartennummern und andere vertrauliche Informationen, und zum Schürfen von Kryptowährungen auf infizierten Geräten ohne Wissen oder Zustimmung des Benutzers verwendet werden.
Es kann verwendet werden, um Ransomware auf infizierte Geräte zu übertragen, die Dateien des Benutzers zu verschlüsseln und eine Lösegeldzahlung zu verlangen, um sie zu entschlüsseln.
Stephen Robinson, Senior Threat Intelligence Analyst bei WithSecure, erklärt, dass sich die Funktionalität der DarkGate-Malware auf hohem Niveau seit der ersten Berichterstattung im Jahr 2018 nicht verändert hat.
„Es war schon immer ein Schweizer Taschenmesser, eine multifunktionale Malware“, sagt er. „Dennoch wurde es seitdem vom Autor wiederholt aktualisiert und geändert, was vermutlich dazu diente, die Implementierung dieser Schadfunktionen zu verbessern und mit dem Wettrüsten zur AV-/Malware-Erkennung Schritt zu halten.“
Er stellt fest, dass sich DarkGate-Kampagnen (und die Akteure dahinter) dadurch unterscheiden lassen, wen sie ansprechen, welche Köder und Infektionsvektoren sie verwenden und welche Aktionen sie auf das Ziel ausüben.
„Der spezifische vietnamesische Cluster, auf den sich der Bericht konzentriert, verwendete für mehrere Kampagnen mit mehreren Malware-Stämmen die gleichen Targeting-, Dateinamen- und sogar Lockdateien“, sagt Robinson.
Sie erstellten PDF-Köderdateien mithilfe eines Onlinedienstes, der jeder erstellten Datei eigene Metadaten hinzufügt. Diese Metadaten stellten weitere starke Verbindungen zwischen den verschiedenen Kampagnen her.
Sie erstellten außerdem mehrere schädliche LNK-Dateien auf demselben Gerät und löschten die Metadaten nicht, sodass weitere Aktivitäten geclustert werden konnten.
Die Korrelation zwischen DarkGate und Ducktail wurde anhand nichttechnischer Marker wie Köderdateien, Zielmuster und Liefermethoden ermittelt, die auf einer 15-seitigen Seite zusammengestellt wurden berichten.
„Nichttechnische Indikatoren wie Lockdateien und Metadaten sind äußerst wirkungsvolle forensische Hinweise. Lockdateien, die als Köder dienen, um Opfer zur Ausführung der Malware zu verleiten, bieten unschätzbare Einblicke in die Vorgehensweise eines Angreifers, seine potenziellen Ziele und seine sich entwickelnden Techniken“, erklärt Callie Guenther, Senior Manager für Cyber-Bedrohungsforschung bei Critical Start.
Ebenso können Metadaten – Informationen wie „LNK Drive ID“ oder Details von Diensten wie Canva – erkennbare Spuren oder Muster hinterlassen, die über verschiedene Angriffe oder bestimmte Akteure hinweg bestehen bleiben können.
„Wenn diese konsistenten Muster analysiert werden, können sie die Lücke zwischen verschiedenen Kampagnen schließen und es Forschern ermöglichen, sie einem gemeinsamen Täter zuzuordnen, selbst wenn der technische Fußabdruck der Malware unterschiedlich ist“, sagt sie.
Ngoc Bui, Cybersicherheitsexperte bei Menlo Security, sagt, dass es wichtig ist, die Beziehungen zwischen verschiedenen Malware-Familien zu verstehen, die mit denselben Bedrohungsakteuren verbunden sind.
„Es hilft dabei, ein umfassenderes Bedrohungsprofil zu erstellen und die Taktiken und Motivationen dieser Bedrohungsakteure zu identifizieren“, sagt Bui.
Wenn Forscher beispielsweise Verbindungen zwischen DarkGate, Ducktail, Lobshot und Redline Stealer finden, können sie möglicherweise zu dem Schluss kommen, dass ein einzelner Akteur oder eine einzelne Gruppe an mehreren Kampagnen beteiligt ist, was auf ein hohes Maß an Raffinesse schließen lässt.
„Es kann Analysten auch dabei helfen, festzustellen, ob mehr als eine Bedrohungsgruppe zusammenarbeitet, wie wir es bei Ransomware-Kampagnen und -Bemühungen sehen“, fügt Bui hinzu.
MaaS beeinflusst die Cyber-Bedrohungslandschaft
Bui weist darauf hin, dass die Verfügbarkeit von DarkGate als Dienst erhebliche Auswirkungen auf die Cybersicherheitslandschaft hat.
„Es senkt die Eintrittsbarriere für aufstrebende Cyberkriminelle, denen es möglicherweise an technischem Fachwissen mangelt“, erklärt Bui. „Dadurch können mehr Einzelpersonen oder Gruppen auf hochentwickelte Malware wie DarkGate zugreifen und diese einsetzen, was die Gesamtbedrohung erhöht.“
Bui fügt hinzu, dass Malware-as-a-Service (MaaS)-Angebote Cyberkriminellen eine bequeme und kostengünstige Möglichkeit bieten, Angriffe durchzuführen.
Für einen Cybersicherheitsanalysten stellt dies eine Herausforderung dar, da er sich kontinuierlich an neue Bedrohungen anpassen und die Möglichkeit in Betracht ziehen muss, dass mehrere Bedrohungsakteure denselben Malware-Dienst nutzen.
Dies kann auch die Verfolgung des Bedrohungsakteurs, der die Malware verwendet, etwas erschweren, da sich die Malware selbst möglicherweise auf den Entwickler konzentriert und nicht auf den Bedrohungsakteur, der die Malware verwendet.
Paradigmenwechsel in der Verteidigung
Günther sagt, dass ein Paradigmenwechsel bei den Verteidigungsstrategien überfällig sei, um die moderne, sich ständig weiterentwickelnde Cyber-Bedrohungslandschaft besser zu verstehen.
„Die Einführung verhaltensbasierter Erkennungssequenzen sowie die Nutzung von KI und ML ermöglichen die Identifizierung anomaler Netzwerkverhaltensweisen und übertreffen die bisherigen Einschränkungen signaturbasierter Methoden“, sagt sie.
Darüber hinaus können die Bündelung von Bedrohungsinformationen und die Förderung der Kommunikation über neu auftretende Bedrohungen und Taktiken branchenübergreifend die Früherkennung und Eindämmung vorantreiben.
„Regelmäßige Audits, die Netzwerkkonfigurationen und Penetrationstests umfassen, können Schwachstellen präventiv aufdecken“, fügt Guenther hinzu. „Darüber hinaus wird eine gut informierte Belegschaft, die darin geschult ist, aktuelle Bedrohungen und Phishing-Vektoren zu erkennen, zur ersten Verteidigungslinie eines Unternehmens und reduziert den Risikoquotienten erheblich.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :hast
- :Ist
- :nicht
- $UP
- 2018
- 7
- a
- Fähig
- Über uns
- Zugang
- über
- Handlung
- Aktionen
- Aktivitäten
- Aktivität
- Akteure
- automatisch
- Fügt
- Nach der
- gegen
- AI
- erlaubt
- ebenfalls
- immer
- an
- Analytiker
- Business Analysten
- analysiert
- und
- ersichtlich
- SIND
- Waffen
- AS
- strebend
- annehmen
- At
- Anschläge
- Versuche
- Audits
- Autor
- Verfügbarkeit
- Zurück
- Köder
- Barriere
- BE
- wurde
- weil
- wird
- war
- Verhaltensweisen
- hinter
- Sein
- Besser
- zwischen
- BRIDGE
- Building
- by
- Kampagnen (Campaign)
- Kampagnen
- CAN
- fähig
- Karte
- katalysieren
- challenges
- geändert
- Cluster
- gemeinsam
- Kommunikation
- begreifen
- umfassend
- Schluss
- Leiten
- Verbindung
- Verbindungen
- Zustimmung
- Geht davon
- konsistent
- zeitgenössische
- ständig
- Praktische
- Korrelation
- kostengünstiger
- erstellt
- Kredit
- Kreditkarte
- kritischem
- kryptowährung
- Kryptojacken
- Cyber-
- Cyber-Kriminalität
- Cyber-Kriminelle
- Internet-Sicherheit
- technische Daten
- Entschlüsseln
- Militär
- Übergeben
- Lieferanten
- anspruchsvoll
- einsetzen
- Details
- Entdeckung
- Bestimmen
- entschlossen
- Entwickler:in / Unternehmen
- Gerät
- Geräte
- DID
- anders
- differenziert
- schwer
- verteilen
- Unterlagen
- Antrieb
- jeder
- Früh
- Bemühungen
- umarmen
- ermöglichen
- umfassend
- Eintrag
- essential
- Sogar
- sich entwickelnden
- Beispiel
- Ausführung
- Experte
- Expertise
- Erklärt
- Familien
- Reichen Sie das
- Mappen
- Revolution
- Finden Sie
- Vorname
- konzentriert
- Fußabdruck
- Aussichten für
- gerichtlich
- Förderung
- für
- Funktionalität
- Funktionen
- weiter
- Lücke
- gab
- Gruppe an
- Gruppen
- Haben
- he
- Hilfe
- hilft
- GUTE
- hoch
- HTTPS
- ID
- Login
- Identifizierung
- if
- schlagkräftig
- Einfluss hat
- Implementierung
- Auswirkungen
- zu unterstützen,
- in
- Einschließlich
- zunehmend
- Indien
- Anzeigen
- Einzelpersonen
- Energiegewinnung
- Information
- Anfangs-
- Einblicke
- Intelligenz
- in
- unschätzbar
- Untersuchung
- beteiligt
- IT
- SEINE
- selbst
- jpg
- Behalten
- Wissen
- Mangel
- Landschaft
- Verlassen
- Niveau
- Nutzung
- Gefällt mir
- wahrscheinlich
- Einschränkungen
- Line
- verknüpft
- Links
- wenig
- um
- Malware
- Malware-as-a-Service (MaaS)
- Manager
- Kann..
- Mittel
- Nachrichten
- Metadaten
- Methoden
- könnte
- Milderung
- ML
- modern
- geändert
- modus
- mehr
- Zudem zeigt
- Motivationen
- mehrere
- sollen
- Namen
- Netzwerk
- Neu
- bekannt
- Notizen
- berüchtigt
- Zahlen
- of
- bieten
- Angebote
- on
- EINEM
- Online
- XNUMXh geöffnet
- Open-Source-
- Betrieb
- or
- Organisation
- Organisationen
- Andere
- Gesamt-
- besitzen
- Paradigma
- Passwörter
- Muster
- Zahlung
- Eindringen
- Phishing
- Drehpunkt
- Plato
- Datenintelligenz von Plato
- PlatoData
- Punkte
- Posen
- Möglichkeit
- möglich
- Potenzial
- früher
- Profil
- die
- Rennen
- Angebot
- Ransom
- Ransomware
- schnell
- RAT
- kürzlich
- erkennen
- Reduzierung
- regulär
- Beziehungen
- entfernt
- Fernzugriff
- WIEDERHOLT
- berichten
- Reporting
- Forschungsprojekte
- Forscher
- Folge
- Risiko
- s
- Said
- gleich
- sagt
- Sicherheitdienst
- sehen
- Senior
- empfindlich
- Dienstleistungen
- sie
- verschieben
- signifikant
- ähnlich
- da
- Single
- Skype
- anspruchsvoll
- Raffinesse
- Quelle
- spezifisch
- Anfang
- begonnen
- Johannes
- Cannabissorten
- Strategien
- stark
- im Wesentlichen
- so
- Schlägt vor
- übertreffen
- Taktik
- Target
- Targeting
- Ziele
- Teams
- Technische
- Techniken
- Tests
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Großbritannien
- ihr
- Sie
- dann
- Diese
- vom Nutzer definierten
- fehlen uns die Worte.
- diejenigen
- Bedrohung
- Bedrohungsakteure
- Bedrohungen
- Durch
- Krawatten
- zu
- gemeinsam
- Tracking
- trainiert
- Trojan
- Uk
- unbedeckt
- Verständnis
- aktualisiert
- us
- benutzt
- Mitglied
- Verwendung von
- Vielfalt
- Vertikalen
- sehr
- Opfer
- Vietnamesisch
- Sicherheitslücken
- wurde
- we
- GUT
- waren
- wann
- welche
- WHO
- breit
- Große Auswahl
- wischen
- mit
- ohne
- Belegschaft
- arbeiten,
- Zephyrnet