Ein Bedrohungscluster mit Verbindungen zu einer Hackergruppe namens Tropic Trooper wurde entdeckt, die im Rahmen einer neu entdeckten Kampagne eine bisher nicht dokumentierte, in der Nim-Sprache codierte Malware verwendet, um Ziele anzugreifen.
Der neuartige Lader mit dem Namen Nimbda ist „mit einem chinesischsprachigen Greyware-Tool ‚SMS Bomber‘ gebündelt, das höchstwahrscheinlich illegal im chinesischsprachigen Web verbreitet wird“, so das israelische Cybersicherheitsunternehmen Check Point in einem Bericht.
„Wer auch immer den Nim-Loader entwickelt hat, hat besonders darauf geachtet, ihm das gleiche ausführbare Symbol zu geben wie dem SMS-Bomber, den er ablegt und ausführt“, so die Forscher. „Daher funktioniert das gesamte Paket wie eine trojanisierte Binärdatei.“
SMS Bomber, wie der Name schon sagt, ermöglicht es einem Benutzer, eine Telefonnummer (nicht seine eigene) einzugeben, um das Gerät des Opfers mit Nachrichten zu überfluten und es möglicherweise in einem Denial-of-Service-Angriff (DoS) unbrauchbar zu machen.
Die Tatsache, dass die Binärdatei gleichzeitig als SMS-Bomber und als Backdoor fungiert, deutet darauf hin, dass die Angriffe nicht nur auf die Nutzer des Tools abzielen – ein „eher unorthodoxes Ziel“ -, sondern auch sehr gezielt sind.
Tropic Trooper, auch bekannt unter den Namen Earth Centaur, KeyBoy und Pirate Panda, hat eine Erfolgsbilanz von Angriffen auf Ziele in Taiwan, Hongkong und auf den Philippinen, die sich vor allem auf die Regierung, das Gesundheitswesen, das Transportwesen und die High-Tech-Branche konzentrieren.
Trend Micro bezeichnete das chinesischsprachige Kollektiv als „bemerkenswert raffiniert und gut ausgerüstet“ und wies im vergangenen Jahr auf die Fähigkeit der Gruppe hin, ihre TTPs weiterzuentwickeln, um unter dem Radar zu bleiben, und sich auf eine breite Palette von benutzerdefinierten Tools zu verlassen, um ihre Ziele zu kompromittieren.
Die jüngste von Check Point dokumentierte Angriffskette beginnt mit dem manipulierten SMS-Bomber-Tool, dem Nimbda-Loader, der eine eingebettete ausführbare Datei startet, in diesem Fall die legitime SMS-Bomber-Nutzlast, und gleichzeitig ein separates Stück Shellcode in einen notepad.exe-Prozess injiziert.
Dadurch wird ein dreistufiger Infektionsprozess in Gang gesetzt, bei dem eine Binärdatei der nächsten Stufe von einer verschleierten IP-Adresse heruntergeladen wird, die in einer Markdown-Datei („EULA.md“) angegeben ist, die sich in einem vom Angreifer kontrollierten GitHub- oder Gitee-Repository befindet.
Bei der gefundenen Binärdatei handelt es sich um eine aktualisierte Version eines Trojaners namens Yahoyah, der Informationen über lokale drahtlose Netzwerke in der Umgebung des Opfers sowie andere System-Metadaten sammelt und die Details an einen Command-and-Control-Server (C2) weiterleitet.
Yahoyah fungiert seinerseits auch als Kanal, um die Malware der Endphase zu holen, die in Form eines Bildes vom C2-Server heruntergeladen wird. Bei der steganografisch verschlüsselten Nutzlast handelt es sich um eine als TClient bekannte Backdoor, die von der Gruppe bereits in früheren Kampagnen eingesetzt wurde.
„Das beobachtete Aktivitätscluster zeichnet das Bild eines fokussierten, entschlossenen Akteurs mit einem klaren Ziel vor Augen“, so das Fazit der Forscher.
„Normalerweise werden gutartige (oder gutartig erscheinende) Tools von Drittanbietern, die in eine Infektionskette eingefügt werden sollen, so ausgewählt, dass sie so wenig auffällig wie möglich sind; die Wahl eines ‚SMS-Bomber‘-Tools für diesen Zweck ist beunruhigend und erzählt eine ganze Geschichte, sobald man es wagt, ein Motiv und ein beabsichtigtes Opfer zu extrapolieren.
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com