Een gevaarlijke nieuwe malware-lader met functies om te bepalen of het op een bedrijfssysteem of een pc staat, is de afgelopen maanden in snel tempo systemen over de hele wereld gaan infecteren.
Onderzoekers van VMware Carbon Black volgen de dreiging, genaamd BatLoader, en zeggen dat de operators de dropper gebruiken om verschillende malwaretools te verspreiden, waaronder een banktrojan, een informatie-dief en de Cobalt Strike post-exploit toolkit op slachtoffersystemen. De tactiek van de aanvaller was om de malware op gecompromitteerde websites te hosten en gebruikers naar die sites te lokken met behulp van methoden voor zoekmachineoptimalisatie (SEO).
Leven van het land
BatLoader is sterk afhankelijk van batch- en PowerShell-scripts om voet aan de grond te krijgen op een slachtoffermachine en om andere malware erop te downloaden. Dit heeft de campagne gemaakt moeilijk te detecteren en te blokkeren, vooral in de vroege stadia, zeiden analisten van het beheerde detectie- en responsteam (MDR) van VMware Carbon Black in een rapport dat op 14 november werd uitgebracht.
VMware zei dat het Carbon Black MDR-team de afgelopen 43 dagen 90 succesvolle infecties had waargenomen, naast talloze andere mislukte pogingen waarbij een slachtoffer het oorspronkelijke infectiebestand downloadde maar het niet uitvoerde. Negen van de slachtoffers waren organisaties in de zakelijke dienstverlening, zeven waren financiële dienstverleners en vijf waren in de industrie. Andere slachtoffers waren organisaties in het onderwijs, de detailhandel, de IT en de gezondheidszorg.
Op 9 november zei eSentire dat zijn team voor het opsporen van bedreigingen had waargenomen dat de operator van BatLoader slachtoffers lokte naar websites die zich voordeden als downloadpagina's voor populaire zakelijke software zoals LogMeIn, Zoom, TeamViewer en AnyDesk. De bedreigingsactor verspreidde links naar deze websites via advertenties die prominent in de resultaten van zoekmachines verschijnen wanneer gebruikers naar een van deze softwareproducten zochten.
De beveiligingsleverancier zei dat bij een incident eind oktober een eSentire-klant op een valse LogMeIn-downloadpagina kwam en een Windows-installatieprogramma downloadde dat, onder andere, het systeem profileert en de informatie gebruikt om een tweede-traps payload op te halen.
"Wat BatLoader interessant maakt, is dat er logica in is ingebouwd die bepaalt of de computer van het slachtoffer een personal computer of een bedrijfscomputer is", zegt Keegan Keplinger, onderzoeks- en rapportageleider bij het TRU-onderzoeksteam van eSentire. "Het laat dan het type malware vallen dat geschikt is voor de situatie."
Selectieve levering van lading
Als BatLoader bijvoorbeeld een personal computer raakt, downloadt het Ursnif-bankmalware en de Vidar-informatiedief. Als het een domein- of bedrijfscomputer raakt, downloadt het Cobalt Strike en de Syncro-tool voor bewaking en beheer op afstand, naast de bank-trojan en de informatie-dief.
"Als BatLoader op een personal computer terechtkomt, gaat het verder met fraude, infostealing en op banken gebaseerde payloads zoals Ursnif", zegt Keegan. "Als BatLoader detecteert dat het zich in een organisatorische omgeving bevindt, gaat het verder met inbraaktools zoals Cobalt Strike en Syncro."
Keegan zegt dat eSentire "veel" recente cyberaanvallen met BatLoader heeft waargenomen. De meeste aanvallen zijn opportunistisch en raken iedereen die op zoek is naar vertrouwde en populaire gratis softwaretools.
"Om onder de aandacht van organisaties te komen, maakt BatLoader gebruik van vergiftigde advertenties, zodat wanneer werknemers op zoek zijn naar vertrouwde gratis software, zoals LogMeIn en Zoom, ze in plaats daarvan terechtkomen op sites die worden beheerd door aanvallers en BatLoader afleveren."
Overlapt met Conti, ZLoader
VMware Carbon Black zei dat hoewel er verschillende aspecten van de BatLoader-campagne uniek zijn, er ook verschillende kenmerken van de aanvalsketen zijn die gelijkenis vertonen met de Conti-ransomware-operatie.
De overlappingen omvatten een IP-adres dat de Conti-groep gebruikte in een campagne die gebruikmaakte van de Log4j-kwetsbaarheid, en het gebruik van een tool voor beheer op afstand genaamd Atera die Conti bij eerdere operaties heeft gebruikt.
Naast de overeenkomsten met Conti heeft BatLoader ook meerdere raakvlakken met Zloader, een bank-trojan dat lijkt te zijn afgeleid van de Zeus-banktrojan uit de vroege jaren 2000, zei de beveiligingsverkoper. De grootste overeenkomsten daar zijn het gebruik van SEO-vergiftiging om slachtoffers naar met malware beladen websites te lokken, het gebruik van Windows Installer om voet aan de grond te krijgen en het gebruik van PowerShell, batchscripts en andere native OS-binaries tijdens de aanvalsketen.
Mandiant was de eerste die verslag deed van BatLoader. In een blogpost in februari meldde de beveiligingsleverancier dat hij een bedreigingsactor had geobserveerd die de thema's 'gratis installatie van productiviteits-apps' en 'gratis installatie van hulpprogramma's voor softwareontwikkeling' gebruikte als SEO-trefwoorden om gebruikers naar downloadsites te lokken.
“Dit aanvankelijke BatLoader-compromis was het begin van een meertraps infectieketen dat geeft de aanvallers voet aan de grond binnen de doelorganisatie”, aldus Mandiant. De aanvallers gebruikten elke fase om de volgende fase van de aanvalsketen op te zetten met behulp van tools zoals PowerShell, Msiexec.exe en Mshta.exe om detectie te omzeilen.
