Egy veszélyes új rosszindulatú programbetöltő, amely lehetővé teszi annak meghatározását, hogy üzleti rendszeren vagy személyi számítógépen van-e, az elmúlt néhány hónapban világszerte gyorsan megfertőzte a rendszereket.
A VMware Carbon Black kutatói nyomon követik a BatLoader névre keresztelt fenyegetést, és azt mondják, hogy üzemeltetői a dropper segítségével különféle rosszindulatú szoftvereket terjesztenek, köztük egy banki trójai programot, egy információlopót és a Cobalt Strike kizsákmányolás utáni eszközkészletet az áldozatrendszereken. A fenyegetés szereplőinek taktikája az volt, hogy feltört webhelyeken tárolja a rosszindulatú programot, és keresőoptimalizálási (SEO) mérgezési módszerekkel csalja rá a felhasználókat ezekre a webhelyekre.
Élet a Földön kívül
A BatLoader nagymértékben támaszkodik a kötegelt és a PowerShell szkriptekre, hogy megvehesse a lábát az áldozat gépén, és más rosszindulatú programokat tölthessen le rá. Ez tette a kampányt nehéz felismerni és blokkolni, különösen a korai szakaszban, a VMware Carbon Black menedzselt felderítési és válaszadási (MDR) csapatának elemzői elmondták november 14-én közzétett jelentésükben.
A VMware szerint a Carbon Black MDR csapata 43 sikeres fertőzést figyelt meg az elmúlt 90 napban, emellett számos más sikertelen próbálkozás is volt, amikor az áldozat letöltötte az eredeti fertőzési fájlt, de nem hajtotta végre azt. Az áldozatok közül kilencen az üzleti szolgáltató szektor szervezetei voltak, hét pénzügyi szolgáltató vállalat, öten pedig a feldolgozóiparban. Az áldozatok között voltak oktatási, kiskereskedelmi, informatikai és egészségügyi szervezetek is.
Az eSentire november 9-én közölte, hogy fenyegetésvadász csapata megfigyelte, hogy a BatLoader üzemeltetője olyan webhelyekre csalogatja áldozatait, amelyek olyan népszerű üzleti szoftverek letöltési oldalainak álcázzák magukat, mint a LogMeIn, a Zoom, a TeamViewer és az AnyDesk. A fenyegetettség szereplője linkeket terjesztett ezekre a webhelyekre olyan hirdetéseken keresztül, amelyek feltűnően megjelentek a keresőmotorok eredményei között amikor a felhasználók e szoftvertermékek valamelyikére kerestek.
A biztonsági szolgáltató elmondta, hogy egy október végi incidens során egy eSentire-ügyfél egy hamis LogMeIn letöltőoldalra érkezett, és letöltött egy Windows-telepítőt, amely többek között profilt készít a rendszerről, és az információkat felhasználja egy második szakaszból származó rakomány lekérésére.
"A BatLoadert az teszi érdekessé, hogy beépített logikával rendelkezik, amely meghatározza, hogy az áldozat számítógépe személyi vagy vállalati számítógép-e" - mondja Keegan Keplinger, az eSentire TRU kutatócsoportjának kutatási és jelentési vezetője. "Ezután eldobja a helyzetnek megfelelő típusú rosszindulatú programokat."
Szelektív rakomány szállítás
Például, ha a BatLoader eltalál egy személyi számítógépet, letölti az Ursnif banki kártevőt és a Vidar információlopót. Ha egy tartományhoz csatlakozott vagy vállalati számítógépet ér, letölti a Cobalt Strike-ot és a Syncro távoli megfigyelési és felügyeleti eszközt, valamint a banki trójai programot és az információlopót.
„Ha a BatLoader egy személyi számítógépen landol, akkor csalással, információlopással és banki alapú rakományokkal folytatja, mint például az Ursnif” – mondja Keegan. "Ha a BatLoader azt észleli, hogy szervezeti környezetben van, olyan behatolási eszközökkel folytatja, mint a Cobalt Strike és a Syncro."
Keegan szerint az eSentire „sok” kibertámadást figyelt meg a közelmúltban a BatLoaderrel kapcsolatban. A legtöbb támadás opportunista, és mindenkit elér, aki megbízható és népszerű ingyenes szoftvereszközöket keres.
"A szervezetek elé kerüléshez a BatLoader mérgezett hirdetéseket használ, így amikor az alkalmazottak megbízható ingyenes szoftvereket keresnek, mint például a LogMeIn és a Zoom, ehelyett a támadók által ellenőrzött webhelyeken landolnak, és a BatLoadert szállítják."
Átfed a Conti-val, a ZLoader-rel
A VMware Carbon Black elmondta, hogy bár a BatLoader kampánynak számos aspektusa egyedi, a támadási láncnak számos olyan attribútuma is van, amelyek hasonlóak a A ransomware működésének folytatása.
Az átfedések közé tartozik egy IP-cím, amelyet a Conti csoport a Log4j sebezhetőségét kihasználó kampányban használt, valamint az Atera nevű távoli felügyeleti eszköz használata, amelyet a Conti használt korábbi műveletei során.
A Conti-val való hasonlóságok mellett a BatLoadernek számos átfedése is van Zloader, egy banki trójai úgy tűnik, hogy a Zeus banki trójai programból származik a 2000-es évek elején, mondta a biztonsági eladó. A legnagyobb hasonlóságok közé tartozik a SEO-mérgezés használata az áldozatok rosszindulatú programokkal teli webhelyekre csalogatására, a Windows Installer használata a kezdeti támaszpont kialakítására, valamint a PowerShell, a kötegelt szkriptek és más natív operációs rendszer binárisok használata a támadási lánc során.
A Mandiant elsőként számolt be a BatLoaderről. Egy februári blogbejegyzésben a biztonsági szolgáltató arról számolt be, hogy megfigyelt egy fenyegetettséget, amely „ingyenes termelékenységi alkalmazások telepítése” és „ingyenes szoftverfejlesztő eszközök telepítése” témákat használt SEO kulcsszavakként, hogy a felhasználókat letöltő webhelyekre csábítsa.
„Ez a kezdeti BatLoader kompromisszum az volt egy többlépcsős fertőzési lánc kezdete amely a támadók számára megtámasztást biztosít a célszervezeten belül” – mondta Mandiant. A támadók minden szakaszt felhasználtak a támadási lánc következő fázisának létrehozására olyan eszközök segítségével, mint a PowerShell, az Msiexec.exe és az Mshta.exe, hogy elkerüljék az észlelést.
