XWorm und Remcos RAT umgehen EDRs, um kritische Infrastruktur zu infizieren

Der Rust-basierte Injektor Freeze[.]rs wurde als Waffe eingesetzt, um eine Reihe von Malware in eine raffinierte Phishing-Kampagne einzuschleusen, die eine bösartige PDF-Datei enthält, die Endpoint Detection and Response (EDR) umgeht.

Die Kampagne wurde erstmals im Juli von den FortiGuard Labs von Fortinet entdeckt und richtet sich an Opfer in ganz Europa und Nordamerika, darunter auch Anbieter von Spezialchemikalien oder Industrieprodukten.

Letztendlich gipfelt diese Kette im Laden der XWorm-Malware, die eine Kommunikation mit einem Command-and-Control-Server (C2) herstellt, wie eine Analyse des Unternehmens ergab. XWorm kann eine Vielzahl von Funktionen ausführen, vom Laden von Ransomware bis hin zur Funktion als dauerhafte Hintertür.

Weitere Enthüllungen enthüllten auch die Beteiligung von SYK Crypter, einem Tool, das häufig zur Verbreitung von Malware-Familien über die Community-Chat-Plattform Discord eingesetzt wird. Dieser Krypter spielte beim Laden eine Rolle Remcos, ein hochentwickelter Fernzugriffs-Trojaner (RAT) versiert in der Steuerung und Überwachung von Windows-Geräten.

EDR auf Eis legen: Unter der Haube der Freeze[.]rs-Angriffskette

Bei ihrer Untersuchung führte die Analyse der codierten Algorithmen und API-Namen durch das Team den Ursprung dieses neuartigen Injektors auf das Red-Team-Tool „Freeze.rs“ zurück, das explizit für die Erstellung von Nutzlasten entwickelt wurde, die EDR-Sicherheitsmaßnahmen umgehen können.

„Diese Datei leitet zu einer HTML-Datei weiter und nutzt das ‚search-ms‘-Protokoll, um auf eine LNK-Datei auf einem Remote-Server zuzugreifen“, heißt es in einem Blogbeitrag des Unternehmens erklärt. „Beim Klicken auf die LNK-Datei führt ein PowerShell-Skript Freeze[.]rs und SYK Crypter für weitere Angriffsaktionen aus.“

Cara Lin, Forscherin bei FortiGuard Labs, erklärt, dass der Freeze[.]rs-Injektor NT-Systemaufrufe aufruft, um den Shellcode einzuschleusen, und dabei die Standardaufrufe überspringt, die sich in der Kernel-Basis-DLL befinden, die möglicherweise eingehängt ist.

„Sie nutzen die leichte Verzögerung, die auftritt, bevor ein EDR beginnt, die Assemblierung von System-DLLs innerhalb eines Prozesses einzubinden und zu ändern“, sagt sie. „Wenn ein Prozess im angehaltenen Zustand erstellt wird, sind nur minimale DLLs geladen und es werden keine EDR-spezifischen DLLs geladen, was darauf hinweist, dass die Systemaufrufe in Ntdll.dll unverändert bleiben.“

Lin erklärt, dass die Angriffskette durch eine mit Sprengfallen versehene PDF-Datei initiiert wird, die mit einem „search-ms“-Protokoll zusammenarbeitet, um die Nutzlast zu liefern.

Dieser JavaScript-Code nutzte die „search-ms“-Funktion, um die LNK-Datei anzuzeigen, die sich auf einem Remote-Server befindet.

Das „search-ms“-Protokoll kann Benutzer über ein Windows Explorer-Fenster auf einen Remote-Server umleiten.

„Durch die Verwendung einer betrügerischen LNK-Datei, die als PDF-Symbol getarnt ist, können Opfer glauben gemacht werden, dass die Datei von ihrem eigenen System stammt und legitim ist“, stellt sie fest.

In der Zwischenzeit „kopiert sich der SYK Crypter zur Persistenz in den Startordner, verschlüsselt die Konfiguration während der Kodierung und entschlüsselt sie bei der Ausführung und verschlüsselt außerdem die komprimierte Nutzlast in der Ressource zur Verschleierung“, fügt sie hinzu.

In der ersten Schicht wird neben der Codierung ein Downloader verwendet. Anschließend umfasst eine zweite Schicht die Verschleierung von Zeichenfolgen und die Verschlüsselung der Nutzdaten.

„Diese vielschichtige Strategie soll die Komplexität und Herausforderung der statischen Analyse erhöhen“, sagt sie. „Schließlich kann es sich selbst beenden, wenn ein bestimmter Sicherheitsanbieter erkannt wird.“

So schützen Sie sich vor dem steigenden Phishing-Risiko

Phishing und andere Messaging-basierte Angriffe weiterhin eine allgegenwärtige Bedrohung darstellen97 % der Unternehmen erlebten in den letzten 12 Monaten mindestens einen E-Mail-Phishing-Angriff und drei Viertel der Unternehmen rechnen mit erheblichen Kosten durch einen E-Mail-basierten Angriff.

Phishing-Angriffe werden immer intelligenter und zielgerichteter, passen sich an neue Technologien und Benutzerverhalten an und umfassen mobile Exploits, Markenimitationen und KI-generierte Inhalte.

Die Studie weist darauf hin, dass es von entscheidender Bedeutung ist, die Software auf dem neuesten Stand zu halten, um Risiken zu mindern, regelmäßige Schulungen anzubieten und fortschrittliche Sicherheitstools zur Abwehr einzusetzen, um der wachsenden Bedrohung durch Phishing-Angriffe entgegenzuwirken.

Phishing-Simulationsschulung für Mitarbeiter scheint bei Organisationen mit kritischer Infrastruktur besser zu funktionieren Neue Untersuchungen haben ergeben, dass 66 % dieser Mitarbeiter mindestens einen echten böswilligen E-Mail-Angriff innerhalb eines Jahres nach der Schulung korrekt gemeldet haben.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• ChartPrime. Verbessern Sie Ihr Handelsspiel mit ChartPrime. Hier zugreifen.
• BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
• Quelle: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure