Diese drei Lader waren dieses Jahr für 80 % der Einbrüche verantwortlich • The Register

Aug 04, 2023

Drei Malware-Loader – QBot, SocGholish und Raspberry Robin – sind in diesem Jahr bisher für 80 Prozent der beobachteten Angriffe auf Computer und Netzwerke verantwortlich.

Der Sicherheitsdienst ReliaQuest berichtete am Freitag, dass QBot (auch bekannt als QakBot, QuackBot und Pinkslipbot) die häufigsten Schädlinge sind, die von IT-Abwehrsystemen erkannt und blockiert werden sollten, der zwischen dem 1. Januar und dem 31. Juli am häufigsten beobachtete Loader und für 30 Prozent des Einbruchs verantwortlich ist Versuche aufgezeichnet. SocGholish kam mit 27 Prozent auf den zweiten Platz und Raspberry Robin erreichte 23 Prozent. Die anderen sieben Lader in der Aufstellung liegen weit hinter den drei Spitzenreitern: Gootloader mit 3 Prozent und Guloader, Chromeloader und Ursnif mit 2 Prozent.

Wie der Name schon sagt, sind Loader eine Zwischenstufe einer Malware-Infektion. Der Loader wird auf dem Computer eines Opfers beispielsweise von einem Täter ausgeführt, der eine Sicherheitslücke ausnutzt oder einfach eine E-Mail mit einem böswilligen Anhang zum Öffnen sendet. Wenn der Loader ausgeführt wird, sichert er normalerweise seinen Halt im System, unternimmt Schritte zur Aufrechterhaltung der Persistenz und ruft die Haupt-Malware-Payload zur Ausführung ab, bei der es sich um Ransomware, eine Hintertür oder ähnliches handeln kann.

Dies gibt den Teams nach einem Einbruch eine gewisse Flexibilität und hilft auch dabei, die eventuelle schädliche Software zu verbergen, die auf einer Maschine eingesetzt wird. Die Möglichkeit, einen Loader zu erkennen und zu stoppen, könnte eine erhebliche Malware-Infektion in Ihrem Unternehmen im Keim ersticken.

Diese Loader lösen jedoch bei Sicherheitsteams Migräne aus, denn wie ReliaQuest betonte, „funktioniert die Schadensbegrenzung für einen Loader möglicherweise nicht für einen anderen, selbst wenn dieser die gleiche Malware lädt.“

Laut der Analyse handelt es sich bei QBot, den ReliaQuest als „den Agilen“ beschreibt, um den 16 Jahre alten Banktrojaner, der sich seitdem weiterentwickelt hat, um Ransomware zu verbreiten, sensible Daten zu stehlen, laterale Bewegungen durch die Umgebungen von Organisationen zu ermöglichen und Remote-Code bereitzustellen Ausführungssoftware.

Im Juni entdeckte die Threat-Intelligence-Gruppe Black Lotus Labs von Lumen, dass der Loader neue Malware-Bereitstellungsmethoden und eine Command-and-Control-Infrastruktur nutzte, wobei ein Viertel der eingesetzten Programme nur einen Tag lang aktiv war. Laut Sicherheitsforschern war diese Entwicklung wahrscheinlich eine Reaktion auf Microsofts Schritt im letzten Jahr, Makros aus dem Internet standardmäßig für Office-Benutzer zu blockieren.

„Die Agilität von QakBot zeigte sich in der Reaktion seiner Betreiber auf Microsofts Mark of the Web (MOTW): Sie änderten die Zustellungstaktiken und entschieden sich für den HTML-Schmuggel“, sagte ReliaQuest. „In anderen Fällen haben QakBot-Betreiber mit Dateitypen für ihre Nutzlasten experimentiert, um Schadensbegrenzungsmaßnahmen zu umgehen.“

Dazu gehört auch die Verwendung bösartiger OneNote-Dateien in ihren Phishing-E-Mails, wie es bei einer Kampagne im Februar 2023 der Fall war, die sich an US-Organisationen richtete.

Der zweite Loader, SocGholish, ist ein JavaScript-basierter Codeblock, der auf Windows abzielt. Es wurde mit der russischen Evil Corp und dem Erstzugangsvermittler Exotic Lily in Verbindung gebracht, der in Unternehmensnetzwerke einbricht und diesen Zugang dann an andere Kriminelle verkauft.

SocGholish wird im Allgemeinen über Drive-by-Compromise- und Social-Engineering-Kampagnen eingesetzt und gibt sich als gefälschtes Update aus, das beim Herunterladen den Schadcode auf dem Gerät des Opfers ablegt. Laut der Threat Analysis Group von Google verschickte Exotic Lily zeitweise mehr als 5.000 E-Mails pro Tag an rund 650 Zielorganisationen weltweit.

Im vergangenen Herbst hat eine kriminelle Gruppe festgestellt, dass TA569 mehr als 250 US-amerikanische Zeitungswebsites kompromittiert hat und diesen Zugriff dann genutzt hat, um den Lesern der Publikationen SocGholish-Malware über bösartige, JavaScript-basierte Anzeigen und Videos bereitzustellen.

Zuletzt, im ersten Halbjahr 2023, verfolgte ReliaQuest SocGholish-Betreiber, die „aggressive Watering-Hole-Angriffe“ durchführten.

„Sie kompromittierten und infizierten Websites großer Organisationen, die gemeinsame Geschäftsaktivitäten mit lukrativem Potenzial betreiben“, sagten die Bedrohungsforscher. „Ahnungslose Besucher luden unweigerlich die SocGholish-Payload herunter, was zu weit verbreiteten Infektionen führte.“

Abgerundet wird die Top 3 durch Raspberry Robin, das ebenfalls auf Windows-Systeme abzielt und sich aus einem Wurm entwickelt hat, der sich über USB-Laufwerke verbreitet.

Diese infizierten USB-Sticks enthalten bösartige .lnk-Dateien, die bei ihrer Ausführung mit dem Command-and-Control-Server kommunizieren, eine Persistenz aufbauen und zusätzliche Malware auf dem infizierten Gerät ausführen – zunehmend Ransomware.

Raspberry Robin wurde auch verwendet, um sowohl die Ransomware Clop und LockBit als auch die datenstehlende Malware TrueBot, den Fernzugriffstrojaner Flawed Grace und Cobalt Strike zu verbreiten, um Zugriff auf die Umgebungen der Opfer zu erhalten.

Es steht in Verbindung mit Evil Corp und einer anderen russischen Verbrecherbande, Whisper Spider. Und im ersten Halbjahr 2023 wurde es bei Angriffen gegen Finanzinstitute, Telekommunikation, Regierung und Produktionsorganisationen eingesetzt, vor allem in Europa, aber auch in den USA.

„Aufgrund der jüngsten Trends ist es sehr wahrscheinlich, dass diese Lader mittelfristig (drei bis sechs Monate) und darüber hinaus weiterhin eine Bedrohung für Unternehmen darstellen werden“, schreiben die Forscher.

„Für den Rest des Jahres 2023 können wir mit weiteren Entwicklungen bei diesen Loadern rechnen – sei es als Reaktion auf organisatorische Abhilfemaßnahmen oder durch die Zusammenarbeit zwischen Bedrohungsakteuren.“ ®

Senden Sie uns Neuigkeiten