"Unfurling Hemlock": Neue Hackergruppe verbreitet Malware wie Streumunition (2024)

Durch Zufall stießen die Experten des Cyber Threat Intelligence Teams bei der Überprüfung von gängigen TTPs in Malware-Kampagnen, die im vergangenen Jahr eingesetzt wurden, auf „Unfurling Hemlock“. Mehrere Berichte und Artikel, in denen eine neuartige Infektionstechnik beschrieben wurde, die zur Verbreitung verschiedener Arten von Malware, die nicht unbedingt miteinander verwandt sind, eingesetzt wird, gaben die entscheidenden Hinweise. Zum Beispiel dieser Artikel, der Amadey analysiert, und dieser Artikel, der sich mit Redline befasst. Bei näherer Betrachtung stellten wir fest, dass das beschriebene Vorgehen eine Reihe von gemeinsamen Merkmalen aufwies und dass mehrere zehntausend ähnliche Beispiele in Frage kommen. Daher kamen wir zu dem Schluss, dass es sich nicht um eine neuartige Technik zur Verbreitung von Schadprogrammen handelt, die von verschiedenen Akteuren eingesetzt wird, sondern um eine massive, monatelang andauernde Kampagne, die von einer einzigen Gruppe durchgeführt wird.

Die auffälligsten Merkmale, die alle diese Beispiele gemeinsam hatten, waren:

• Die Malware wurde über eine Art von komprimierten Dateien verbreitet, sogenannte Cabinet-Dateien
• Diese komprimierten Dateien trugen den Namen „WEXTRACT.EXE .MUI“.
• Die analysierten Beispiele enthielten weitere komprimierte Dateien mit denselben Merkmalen, die wiederum weitere komprimierte Dateien enthielten, wobei sich diese Verschachtelung in einigen Fällen bis zu sieben Mal wiederholte
• Jede komprimierte Datei enthielt zwei Dateien: eine weitere komprimierte Datei und ein Schadprogramm. Die letzte komprimierte Datei der Kette enthielt zwei Malware-Samples
• Mindestens 50k Dateien mit diesen Merkmalen wurden weltweit nachgewiesen, wobei die Zahl der Malware-Samples im Zusammenhang mit der Kampagne in die Hunderttausende geht.
• Die verbreitete Malware bestand hauptsächlich aus Infostealern wie Redline, RisePro und Mystic Stealer sowie aus Ladern wie Amadey und SmokeLoader.
• Während die Dateien anscheinend von verschiedenen Quellen verteilt wurden, waren viele von ihnen mit Hosts innerhalb des Autonomen Systems 203727 verbunden, einem AS, das mit Hosting- Services in Verbindung steht, die in der Vergangenheit häufig von osteuropäischen Cyberkriminellen genutzt wurden

Dürfen wir vorstellen: Unfurling Hemlock

Wir hatten es also mit einer osteuropäischen Gruppe zu tun, die mehrere Verteilungskanäle nutzt, um Hunderttausende von Malware-Samples zu verbreiten und jedes Opfer mit bis zu zehn Samples gleichzeitig zu infizieren. Wir nannten den Täter „Unfurling Hemlock“, weil die von ihm verbreiteten Samples wie eine Art Malware-„Streumunition“ wirken, bei der sich eine einzelne Datei in mehrere Malware-Samples aufteilt, wenn sie ihre Opfer infiziert. Diese Vorgehensweise scheint ein ehrgeiziger Ansatz zu sein, alle Bereiche eines Systems abzudecken und den Nutzen einer Infektion zu maximieren.

Viele der Dateien im Umlauf enthielten weitere Hilfsprogramme, die den Erfolg einer Infektion begünstigen sollten, z. B. Obfuskatoren und Tools zur Deaktivierung von Windows Defender und anderen Schutzmechanismen. Darüber hinaus schienen einige der Dateien mit anderen Kampagnen verknüpft zu sein, was ein starkes Indiz dafür ist, dass der Akteur möglicherweise pro Infektion bezahlt wurde. All dies zusammengenommen ergibt eine Situation, in der der Akteur die Möglichkeit hat, mit einer einzigen Ausgangsdatei die Informationen des Opfers zu stehlen, weitere Malware auf den Computer des Opfers zu laden und für die Infektion mit der Malware einer anderen Gruppe bezahlt zu werden, und das alles zur gleichen Zeit oder in beliebiger Reihenfolge.

Mit hinreichender Sicherheit können wir die folgenden Sachverhalte über den Threat Actor annehmen:

• Die Gruppe ist in einem osteuropäischen Land ansässig. Beweise für diese Tatsache sind das Vorhandensein der russischen Sprache in einigen analysierten Beispielen sowie die Infrastruktur, die zum Hosten und Verteilen der Malware verwendet wurde.
• Aufgrund der Art und Weise, wie die Malware verbreitet wurde, kann davon ausgegangen werden, dass Unfurling Hemlock andere Akteure mit der Verbreitung der Malware, hauptsächlich über Loader und E-Mail, beauftragt hat.
• Der Akteur schien das Ziel zu haben so viel Malware wie möglich an so viele Opfer wie möglich zu verbreiten.
• Es ist fast sicher, dass finanzielle Faktoren der Motivator der Gruppe sind. Zu diesem Schluss kommen wir aufgrund der Art der verbreiteten Malware (hauptsächlich generische Loader und Stealer), der massiven Verbreitung und der Tatsache, dass Unfurling Hemlock höchstwahrscheinlich Malware von anderen Gruppen verbreitete, vermutlich gegen Gebühr.

Standardverhalten eines Samples

Das Verteilungsmuster heißt „WEXTRACT.EXE .MUI“, eine 32-Bit-PE-Datei, die bei der Ausführung zwei Dateien ablegt. Die eine Datei ist ein Schadprogramm oder ein Dienstprogramm, das bei der Infektion hilft. Die andere, eine Datei, die ihrer Vorgängerin ähnelt, enthält zwei weitere Dateien, eine Malware oder ein Dienstprogramm und eine weitere ausführbare Datei, die zwei weitere Dateien enthält, usw. Der Umfang der Verschachtelung variiert von Fall zu Fall, aber wir haben bis zu sieben Zyklen beobachtet, die diesem Schema folgen.

Bei der Malware, die mit dieser Technik verbreitet wird, handelt es sich meist um Stealer wie Redline, RisePro und Mystic Stealer sowie Loader wie Amadey und SmokeLoader. Lassen Sie sich nicht vom Namen der Beispiele täuschen. Wextract.exe ist eine legitime exe-Datei für Windows, die zum Extrahieren einer Art von komprimierten Dateien, den so genannten Cabinet-Dateien, verwendet wird. Es ist wahrscheinlich, dass der Akteur Cabinet-Dateien verwendet, weil sie die automatische Ausführung ihres Inhalts nach dem Entpacken ermöglichen.

Die Reihenfolge der Ausführung ist wie folgt. Zunächst wird die gesamte Malware entpackt, d. h. alle verschiedenen komprimierten Dateien werden bis zur letzten Iteration extrahiert, bei der keine weiteren Cabinet-Dateien mehr vorhanden sind. Dann wird der resultierende „Baum“ in umgekehrter Reihenfolge durchlaufen, wobei zuerst die zuletzt entnommene Malware ausgeführt wird, dann die Malware, die im vorherigen Zyklus entnommen wurde, und dies wird bis zum ersten Zyklus wiederholt. Die folgende Abbildung zeigt eine vereinfachte Darstellung der Ausführungsreihenfolge:

Im Diagramm wurde jeder Knoten entsprechend der Ausführungsreihenfolge nummeriert. Die Knoten 1 bis 4 sind die Kabinettdateien, während die Knoten 5 bis 9 Malware wie Redline oder Smokeloader sind. Dieser Ansatz führte zu einigen „suboptimalen“ Ausführungsfolgen, vor allem in den ersten Tagen der Kampagne. Knoten 7 war beispielsweise eine exe-Datei mit der Bezeichnung healer.exe, ein Programm zur Deaktivierung von Windows Defender. Bei den Knoten 5 und 6 handelt es sich jedoch um Redline und Amadey, was bedeutet, dass Windows Defender nur für die Ausführung der Malware in den Knoten 8 und 9 deaktiviert wurde, was eine Infektion möglicherweise behindert.

Die folgende Abbildung zeigt den Ausführungsbaum eines echten Beispiels, 37b9e74da5fe5e27aaedc25e4aac7678553b6d7d89ec4d99e8b9d0627dcbdc12, als weiteres Beispiel:

Das 5. „Nest“ wirft ein weiteres „Nest“ und Smokeloader ab. Auf dem Bild werden keine weiteren Verbindungen hergestellt, da zum Zeitpunkt der Analyse der C2 nicht mehr aktiv war. In anderen Fällen, wie z. B. bei der Datei: 65923603a6f117c7460b8cc69009105208bdfa544b90446580915db8fe127ae8, wurden jedoch erfolgreiche Verbindungen hergestellt und mehrere Redline-Samples auf den Rechner geladen. Das bedeutet, dass ein Opfer nicht nur von der Malware infiziert werden kann, die bei diesem Vorgehen mithilfe der Streumunition freigesetzt wird, sondern dass es durch das Vorhandensein von Loadern auch vielen weiteren potenziellen Malware-Infektionen ausgesetzt ist.

Analyse der Kampagne

Im letzten Jahr wurde von Unfurling Hemlock eine große Verbreitungsaktion mit dieser Methode durchgeführt. Von etwa Februar 2023 bis Anfang 2024 wurden Zehntausende von Exemplaren auf diese Weise verteilt. Einige flüchtige Recherchen ergaben mehr als 50.000 dieser Clusterbomben allein in VirusTotal, von denen jede potenziell einen weiteren oder mehrere Stealer und Dropper enthalten könnte, die noch mehr Malware übertragen können.

Es wurden aber auch einige Unregelmäßigkeiten beobachtet. Die verschiedenen Exemplare wiesen unterschiedlich viele Verschachtelungen auf, in der Regel zwischen 4 und 7, in einigen Fällen sogar weniger. Möglicherweise handelte es sich bei den entdeckten Proben mit weniger Verschachtelungen um “ Zwischenstufen „, die nicht erfolgreich mit ihren Vorgängern korreliert wurden, oder um Samples, die bei anderen Infektionsversuchen wiederverwendet wurden.

Die verbreitete Malware stammte in der Regel aus den nachfolgenden Serien, obwohl auch weitere Varianten vertreten waren:

• Redline: Einer der beliebtesten und am weitesten verbreiteten Stealer der Welt.
• Mystic Stealer: Ein Stealer, der das „Malware as a Service“-Modell (MaaS) vertritt.
• RisePro: Relativ neuer Stealer, der in den letzten Monaten an Popularität gewonnen hat.
• Amadey: Ein maßgeschneiderter Loader, der seit 2018 in Untergrundforen verkauft wird.
• SmokeLoader: Eine generische Backdoor, die seit etwa einem Jahrzehnt aktiv verbreitet und gepflegt wird.

Allerdings scheint es keine Konstante in der Kombination und Reihenfolge der Ausführung der Malware zu geben. Sie entwickelte sich im Laufe der Zeit, wahrscheinlich abhängig davon, welche Malware und Malware-Kombinationen das höchste Potenzial hatten, lukrativ zu sein. Wir konnten jedoch eine gewisse Evolution beobachten. So fanden wir in früheren Proben,(be25926929b1aae0257d7f7614dd5ad637b8fd8e139c68f4d717e3dc9913e3cf), Fehler wie den oben beschriebenen, bei dem das Tool zur Deaktivierung von Windows Defender ausgeführt wurde, nachdem die Malware bereits ausgeführt worden war.

Neuere Samples enthielten auch Tools wie Enigma, ein Packer, der zur Verschleierung von Malware verwendet wird, und Dienstprogramme, die native Windows-Tools wie wmiadap.exe und wmiprvse.exe ausführen, wahrscheinlich um statistische Daten über die Opfer zu sammeln und Informationen über den Erfolg der Infektionen zu erhalten. Auch die Verbreitungsmethoden variierten: Die Exemplare wurden über Loader verbreitet, die auch andere Arten von Malware verbreiteten, sie wurden auf Websites gefunden, auf die andere Malware verwies, oder auf Websites mit Namen, die darauf schließen lassen, dass sie in Phishing- oder betrügerischen Kampagnen verwendet wurden.

Zur Erstellung dieser Analyse haben wir beschlossen, einen Teil der Proben zu berücksichtigen. Diese wurden ausgewählt, indem wir Verbreitungsmuster identifizierten und ihre komplette Abwicklung verfolgten, wobei wir jede Zwischenstufe und entpackte Malware aufzeichneten. Insgesamt wurden für diese Aufgabe mehr als 2.100 Samples verwendet, die sowohl von VirusTotal als auch von unseren eigenen Systemen extrahiert wurden. Die folgende Abbildung zeigt das Ergebnis dieser Stichprobe:

Das Farbschema ist dasselbe wie in dem oben gezeigten Beispiel, wobei die blauen Knoten die verteilten Proben, die gelben Knoten die komprimierten Zwischenstufen und die roten Knoten die Malware selbst darstellen. Aus dem anfänglichen Chaos lassen sich mehrere „Muster“ erkennen. Erstens unabhängige Gruppen, die der gleichen Struktur folgen wie die im Beispiel beschriebene, mit einem Elternteil und mehreren Zwischenstufen, die jeweils unterschiedliche Malware enthalten. Da dies im Verlauf der Kampagne am häufigsten vorkommt, wollen wir uns eines dieser Muster genauer ansehen:

Alles begann mit dem Beispiel welches von von einem Loader über die Adresse hxxp://185.46.46.146/none/vah50.exe heruntergeladen wurde. In dieser Stufe wurde ein Dienstprogramm abgelegt, das im Wesentlichen die Leistung der Durchführung überprüft, und die nächste Stufe, die „erste Zwischenstufe“.

Mystic Stealer

Die erste Zwischenstufe enthält die zweite Zwischenstufe und Mystic Stealer. Mystic Stealer ist hauptsächlich auf Datendiebstahl ausgerichtet und kann Anmeldeinformationen von fast 40 verschiedenen Webbrowsern und mehr als 70 Browsererweiterungen stehlen. Außerdem zielt er auf Krypto-Wallets, Steam und Telegram ab. Diese Stealer-Malware verfügt über Fähigkeiten, die es ihr ermöglichen, ein breites Spektrum an Informationen zu extrahieren. Sie ist so konzipiert, dass sie zusätzliche Informationen von infizierten Computern sammelt, z. B. den System-Hostname, den Benutzernamen und die GUID. Außerdem identifiziert sie anhand des Sprachraums und des Tastaturlayouts die wahrscheinliche Position des Systems. Dieses Exemplar nimmt Kontakt mit hxxp://193.233.255.73/loghub/master auf, einem C2, der mit Mystic Stealer in Verbindung steht und von Tausenden von Exemplaren aus dieser Kampagne kontaktiert wird.

Amadey

Die zweite Zwischenstufe enthält Amadey. Amadey ist ein Botnetz, das seit Oktober 2018 in russischen Foren beworben wird. Einigen Anzeigen zufolge scheint der Loader ursprünglich für eine Privatperson oder eine Gruppe in Auftrag gegeben worden zu sein, aber aus welchen Gründen auch immer hat der Kunde beschlossen, das Endprodukt nicht zu kaufen. Dies veranlasste den Entwickler angeblich dazu, die Malware öffentlich zum Verkauf anzubieten. Der Preis von Amadey hat im Laufe der Zeit etwas geschwankt. In der Regel ist die Malware für 600 US-Dollar erhältlich, obwohl sie häufig mit Rabatten zum Verkauf angeboten wird. Der Loader wurde in mehreren bekannten Kampagnen verwendet und verbreitet alle Arten von Malware, von Ransomware bis hin zu anderen Loadern.

Im Falle dieses Beispiels lautet die C2-Adresse hxxp://77.91.124.1/theme/index.php, die auch von mehreren Tausend anderen Fällen kontaktiert wird, von denen einige zu dieser speziellen Kampagne gehören, während andere offenbar nicht mit ihr in Verbindung stehen.

Redline

Die dritte Zwischenstufe in der Kette enthält Redline. Redline ist ein äußerst beliebter, in C# geschriebener Stealer, der erstmals im März 2020 aufgetaucht ist. Ursprünglich implementierte er SOAP (Simple Object Access Protocol) über HTTP für seine Kommunikation mit dem C&C. Seit einiger Zeit verwendet er jedoch stattdessen das Net.TCP Port Sharing Protocol. Da es sich um einen Stealer handelt, besteht sein Hauptziel darin, alle Arten von persönlichen Informationen zu exportieren, z. B. Zugangsdaten, Krypto-Wallets und Finanzinformationen, und sie in die C2-Infrastruktur der Malware hochzuladen.

Er ist sehr vielseitig und weit verbreitet und wurde in unzähligen Kampagnen eingesetzt und mit jeder Art von Malware gepaart, von Kryptominern bis hin zu Ransomware. In diesem Fall sendet das Sample die gestohlenen Informationen an tcp[:]//77.91.124.86:19084, ein Redline C2, das von Tausenden von Exemplaren, die zu dieser Kampagne gehören, kontaktiert wird.

Smokeloader

Die vierte komprimierte Datei enthält Smokeloader. Smokeloader ist eine generische Backdoor mit einer Reihe von Funktionen, die von den Modulen abhängen, die in dem jeweiligen Build der Malware enthalten sind. Die Malware wird auf unterschiedliche Weise verbreitet und wird häufig mit kriminellen Aktivitäten in Verbindung gebracht. Die Malware versucht häufig, ihre C2-Aktivität zu verschleiern, indem sie Anfragen an legitime Websites wie microsoft.com, bing.com, adobe.com und andere generiert. In der Regel gibt der eigentliche Download eine HTTP 404 zurück, enthält aber dennoch Daten im Response Body.

Smokeloader wird seit 2011 in russischsprachigen Untergrundforen wie Exploit and XSS (ehemals DamageLab) zum Kauf angeboten. Er ist derzeit einer der am weitesten verbreiteten Loader weltweit. Im Falle dieses Beispiels lautet die C2-Adresse hxxp://77.91.68.29/fks/, die von Tausenden von Samples sowohl aus dieser als auch aus anderen Kampagnen kontaktiert wird.

Mystic Stealer + Dienstprogramm

Die letzte komprimierte Zwischendatei enthält schließlich zwei Schadprogramme. Bei dem ersten handelt es sich um eine weitere Variante von Mystic Stealer, die sich an denselben C2 wendet wie das oben beschriebene Beispiel: hxxp://193.233.255.73/loghub/master. Das andere ist ein Dienstprogramm, das die Registrierungsschlüssel des Opfers manipuliert und versucht, so Systemschutzmaßnahmen zu deaktivieren.

Sobald alle Zwischenstufen und Malwarevarianten extrahiert wurden, beginnt die eigentliche Abarbeitung in umgekehrter Reihenfolge. Zunächst deaktiviert das Dienstprogramm verschiedene Funktionen wie Windows Defender, Windows Updates und Benachrichtigungen. Dann wird die zweite Variante von Mystic Stealer, Smokeloader, Redline, Amadey und die erste Variante von Mystic Stealer in dieser Reihenfolge ausgeführt und zum Schluss das Dienstprogramm zur Überwachung der Infektion. Wenn jede Ausführung erfolgreich ist, sind die Opfer mit drei Stealern und zwei Loadern infiziert, die zum Einschleusen weiterer Malware verwendet werden können, und die Abwehrmechanismen des Systems sind deaktiviert.

In Abbildung 3 sind einige Ausreißer zu sehen, bei denen die Zwischenstufen keine Malware enthalten oder nur eine Iteration der charakteristischen Schleife stattfindet. Dies ist höchstwahrscheinlich darauf zurückzuführen, dass die Probenahme unter Zeitdruck erfolgte, so dass der Pool durch einige unvollständige, defekte oder neu verpackte bzw. modifizierte Zwischenstufen verunreinigt worden sein könnte.

Am auffälligsten an dem Diagramm ist jedoch die enorme Häufung in der Mitte, bei der Malware in Dutzenden von Fällen enthalten ist. Dabei handelt es sich hauptsächlich um Utilities, die bei der Infektion helfen und die Detektion erschweren. Zu den häufigsten gehören Enigma, ein Packer, der normalerweise zur Verschleierung von Nutzlasten verwendet wird, und Healer, ein Tool, welches dazu dient, Windows Defender zu deaktivieren.

Dann gibt es noch das leichtere Clustering, bei dem einige mittlere Stadien und Malware von einigen wenigen Eltern gemeinsam genutzt werden. Wie in Abbildung 5 zu sehen ist, handelt es sich bei einigen der Schadprogramme, die in verschiedenen Zwischenstufen und Initialdateien vorkommen, um Stealer wie RisePro.

Diese Häufung sowie die Tatsache, dass sich die Infrastruktur größtenteils innerhalb desselben ASN zu befinden scheint, sprechen dafür, dass diese Kampagne von einem einzigen Akteur durchgeführt wurde.

Wie gelangten die Dateien von Unfurling Hemlock auf die Systeme der Opfer?

Bei den untersuchten Stichproben wurde festgestellt, dass die meisten Initialdateien per E-Mail an verschiedene Unternehmen versandt oder von externen Websites heruntergeladen wurden, die von Loadern kontaktiert wurden.

Als Beispiel dient 94115d0eae0422b6605f0f25841c29b7cc6c029472a983b21d1cedcd7fdcd647:

Dieses Beispiel wurde von hxxp://5.42.92.93/39902/from.exe heruntergeladen, die von 0ef7459cebfe9bd9102c5eccc16eedddec5931e69bf705aa44aa3c7af584f209 kontaktiert wurde, einem Loader, der von hxxp://globalsystemperu.com/forms/gate4.exe heruntergeladen wurde, einer Website, die entweder gefälscht oder kompromittiert zu sein scheint. Diese Seite steht im Zusammenhang mit Downloads anderer Malware, die nichts mit der hier besprochenen Kampagne zu tun haben.

Loader wie der in der Abbildung sowie WEXTRACT- Exemplare sind auch von E-Mail-Schutzdiensten entdeckt worden. Dies und die Tatsache, dass die ursprüngliche Website mit völlig unabhängigen Kampagnen in Verbindung steht, lässt uns vermuten, dass Unfurling Hemlock wahrscheinlich Dienste zur Verbreitung von Malware von anderen Akteuren einkauft.

Im Folgenden finden Sie einige Beispiele für andere URLs, die auf ähnliche Weise kontaktiert wurden, um WEXTRACT herunterzuladen:

• hxxp://77.91.124.130/gallery/photo_570.exe
  • URL und IP wird exklusiv zum Download von WEXTRACT genutzt
  • URL, die von Proben kontaktiert wird, die sowohl mit WEXTRACT in Verbindung stehen als auch nicht
• hxxp://109.107.182.3/love/bongo.exe
  • URL und IP wird exklusiv zum Download von WEXTRACT genutzt
  • URL, die von Proben kontaktiert wird, die sowohl mit WEXTRACT in Verbindung stehen als auch nicht mit WEXTRACT in Verbindung stehen
  • IP, die für die Verbreitung anderer Malware verwendet wird (andere Pfade)
• hxxp://77.91.68.21/nova/foxi.exe
  • URL wird exklusiv zum Download von WEXTRACT genutzt
  • URL, die von Proben kontaktiert wird, die mit WEXTRACT in Verbindung stehen
  • IP, die für die Verbreitung anderer Malware verwendet wird (andere Pfade)
• hxxp://109.107.182.45/red/line.exe
  • URL und IP wird exklusiv zum Download von WEXTRACT genutzt
  • URL, die von Proben kontaktiert wird, die sowohl mit WEXTRACT in Verbindung stehen als auch nicht
  • IP, die für die Verbreitung anderer Malware verwendet wird (andere Pfade)
• hxxp://109.107.182.3/some/love.exe
  • URL wird exklusiv zum Download von WEXTRACT genutzt
  • IP, die für die Verbreitung anderer Malware verwendet wird (andere Pfade)
• hxxp://5.42.92.93/i/smo.exe
  • URL und IP wird exklusiv zum Download von WEXTRACT genutzt
  • URL, die für die Verbreitung anderer Malware verwendet wird

Der größte Teil der Infrastruktur befindet sich in der AS 203727 (Daniil Yevchenko), die bekanntermaßen von Cyberkriminellen zum Hosten von schädlichem Material genutzt wird. Einige IPs scheinen sich ausschließlich auf die Verbreitung von WEXTRACT zu beschränken, während andere auch andere Malware hosten, was dafür spricht, dass es sich bei dem Urheber offenbar um eine einzelne Person oder Gruppe handelt. Die Infektion und Verbreitung könnte auch von anderen Parteien übernommen werden.

Welche C2-Adressen wurden kontaktiert?

Wie in dem oben gezeigten Deep Dive der Infektionsschleife zu sehen ist, stellte die von Unfurling Hemlock verteilte Malware Verbindungen zu mehreren Command & Control-Adressen her. Im Folgenden sind einige C2-URLs und IP-Adressen aufgeführt, die von bestimmten Exemplaren dieser Kampagne kontaktiert wurden.

• host-file-host6.com
  • URL, die von Malware kontaktiert wurde, die nicht ausschließlich mit WEXTRACT in Verbindung steht
• host-file-host8.com
  • URL, die von Malware kontaktiert wurde, die nicht ausschließlich mit WEXTRACT in Verbindung steht
• 185.215.113.68/theme/index.php
  • URL, die von Malware kontaktiert wurde, die nicht ausschließlich mit WEXTRACT in Verbindung steht
• 77.91.124.1/theme/index.php
  • URL, die hauptsächlich von Malware kontaktiert wird, die mit WEXTRACT in Verbindung steht
• 77.91.124.20/store/games/index.php
  • URL und IP, die am häufigsten von Malware im Zusammenhang mit WEXTRACT kontaktiert werden
• 176.113.115.145:4125
  • IP, die nur von Malware im Zusammenhang mit WEXTRACT kontaktiert wird
• 176.123.7.190:32927
  • IP, die nur von Malware im Zusammenhang mit WEXTRACT kontaktiert wurde
• 89.23.100.93
  • IP, die von Malware kontaktiert wurde, die nicht ausschließlich mit WEXTRACT zu tun hat
• 195.123.218.98
  • IP, die hauptsächlich von mit WEXTRACT in Verbindung stehenden Mustern kontaktiert wurde
• 31.192.237.75
  • IP-Adresse, die hauptsächlich von mit WEXTRACT in Verbindung stehenden Mustern kontaktiert wird
• 193.233.132.12
  • IP, die von Malware kontaktiert wurde, die nicht ausschließlich mit WEXTRACT in Verbindung steht
• 185.161.248.142
  • IP-Adresse, die hauptsächlich von mit WEXTRACT in Verbindung stehenden Mustern kontaktiert wird
• 194.169.175.235
  • IP, die hauptsächlich von mit WEXTRACT in Verbindung stehenden Mustern kontaktiert wurde
• 20.79.30.95
  • IP, die von Malware kontaktiert wird, die nicht ausschließlich mit WEXTRACT in Verbindung steht
• 185.172.128.79
  • IP, die von Malware kontaktiert wurde, die nicht ausschließlich mit WEXTRACT in Verbindung steht

Das von der entpackten Malware beobachtete Verhalten bestärkt auch die Theorie, dass der Akteur Unfurling Hemlock zumindest bei einigen der in der Stichprobe enthaltenen Beispiele, zu anderen Kampagnen gehörenden Schadprogramme verteilt hat, höchstwahrscheinlich gegen eine Gebühr pro Infektion oder ähnlichem.

Die Zielgruppe der Kampagne von Unfurling Hemlock

Die folgende Tabelle schlüsselt die Zusammensetzung der Stichprobe auf. Es ist jedoch zu beachten, dass es sich dabei um die Länder handelt, aus denen die Proben auf VT und unsere eigenen Systeme hochgeladen wurden, und nicht unbedingt um das Land, in dem die Infektion stattfand:

Dass westliche Organisationen ins Visier genommen werden, ist normal, wenn es um massive Malwarekampagnen osteuropäischer Gruppen geht, und so ist es keine Überraschung, dass die beiden wichtigsten Quellen USA und Deutschland sind. Die Präsenz asiatischer und nahöstlicher Länder ist ebenfalls zu erwarten, wenn man bedenkt, dass der Akteur höchstwahrscheinlich Infektionen von mehreren Distributoren erworben hat und einige von ihnen auf diese Regionen spezialisiert sind oder dort Dienstleistungen anbieten.

Jedoch ist die Anwesenheit von Russland unter den Ländern ungewöhnlich. Normalerweise vermeiden es Akteure aus der Region, Mitglieder der Gemeinschaft Unabhängiger Staaten (GUS) ins Visier zu nehmen, da russische Behörden dazu neigen, Cyberkriminalität nicht zu verfolgen, wenn sie nicht ihr Hoheitsgebiet oder das ihrer Verbündeten betrifft. Für die Präsenz des Landes gibt es mehrere Gründe. Es könnte sein, dass einige der von Unfurling Hemlock genutzten Distributoren ihren Sitz nicht in einem Land der GUS hatten, so dass keine Einschränkungen galten. Es ist auch möglich, dass die aus Russland hochgeladenen Proben über Proxys hochgeladen wurden, um ihre tatsächliche Herkunft zu verschleiern, oder durch Sicherheitslösungen, die in diesem Land angesiedelt sind. Wahrscheinlich handelt es sich um eine Kombination aus all diesen Faktoren.

Die meisten Proben aus der Kampagne von Unfurling Hemlock wurden über APIs auf Dienste wie Virus Total und unsere Systeme hochgeladen, was darauf hindeutet, dass sie von automatisierten Sicherheitslösungen erkannt werden. Wir haben auch beobachtet, dass mehrere Muster von E-Mail-Schutzdiensten erkannt und abgefangen wurden. Auf den ersten Blick sieht es so aus, als ob die Hauptziele Unternehmen und andere private Einrichtungen sind, aber das könnte ein Fall von „Survivor’s Bias“ sein. In der Regel sind es solche Organisationen, die über Systeme verfügen, die Proben mit Malware- Suchfunktionen hochladen, während dies bei Privatpersonen seltener der Fall ist.

Aufgrund der Technik und der verwendeten Malware ist es sehr wahrscheinlich, dass Unfurling Hemlock kein bestimmtes Ziel im Auge haben und dass jedes System, das ausreichend anfällig ist, um von der in den „Streumunition“ enthaltenen Malware infiziert zu werden, ein geeignetes Ziel darstellt, unabhängig von Standort, Position oder Systemlandschaft.

KrakenLabs Analyse

Bei dieser Kampagne konnte unser Threat-Intelligence-Team beobachten, welche Schritte Angreifer gehen würden, um maximalen Nutzen aus einer Verbreitungskampagne für Malware zu ziehen. Es ist naheliegend, dass, wenn eine Infektion mit einer einzigen Malware erfolgreich ist, auch andere Infektionen mit Malware ähnlicher Eigenschaften erfolgreich sein sollten und die Angreifer haben diese Motivation bestätigt, indem sie die Opfer mit einem Loader, einem RAT oder einer Backdoor, zusätzlich zu Stealern, Cryptominern oder Ransomware infiziert haben.
Eine Schwachstelle ist nur: Wenn der Loader entdeckt wird oder nicht in der Lage ist, den C2 zu kontaktieren, werden keine weiteren Schadprogramme eingeschleust.

Unfurling Hemlock hat in dieser Kampagne ein Weg gezeigt, dieses Problem zu umgehen. Sobald sich die Datei auf dem System des Opfers befindet, wird sie und ihre Nutzlast in ihrer Gesamtheit ausgelöst. Dadurch wird sichergestellt, dass zumindest ein Infektionsversuch mit jeder darin enthaltenen Malware unternommen wird.
Dadurch lässt sich auch Redundanz einführen, indem z. B. mehrere verschiedene Loader hinzugefügt werden, um die Wahrscheinlichkeit einer erfolgreichen Verbindung zu den C2-Servern zu erhöhen, und dann weitere Malware einzuschleusen, so dass die Flexibilität erhalten bleibt.
Letztendlich ist dies auch eine sehr nützliche „Budget“-Strategie, da die Verteilung von Malware ein kostspieliges Unterfangen sein kann, wenn man mit größeren Mengen arbeitet.

Nach dem, was wir in dieser Kampagne gesehen haben, ist es wahrscheinlich, dass diese oder eine ähnliche Technik in Zukunft an Popularität gewinnen und von anderen Gruppen imitiert werden könnte. Tatsächlich haben wir bei der Arbeit an diesem Artikel herausgefunden, dass Forscher von ANY.RUN eine sehr ähnliche Kampagne dokumentiert haben und die Malware CrackedCantil nannten. Auch wenn die Anzahl der gefundenen Exemplare stark zurückgegangen ist und die Kampagne nicht mehr aktiv ist, bedeutet dies nicht, dass Unfurling Hemlock die Tätigkeit eingestellt hat.
Möglicherweise sind sie in eine andere Infrastruktur umgezogen und haben ihre Technik weiterentwickelt, oder sie sind inaktiv und bereiten sich darauf vor, in naher Zukunft einen ähnlichen Angriff zu starten.

Wie können sich also potenzielle Opfer vor dieser Art von Bedrohung schützen? Letztendlich ist diese Malware-„Streumunition“ weder komplex noch besonders Verdeckt im Bezug auf Verschleierungs- und Anti-Analyse-Techniken und die enthaltene Malware ist auch weithin bekannt und dokumentiert.
Daher werden sie von den meisten Anti-Malware-Lösungen und Schutzmechanismen leicht erkannt. Solange Ihre Sicherheitsmaßnahmen in der Lage sind, den Inhalt komprimierter Dateien zu analysieren und/oder verdächtige Software auszuführen, und die Anwender ihren gesunden Menschenverstand walten lassen und niemals etwas von verdächtigen Websites oder E-Mails herunterladen, öffnen oder ausführen, sollten sie vor dieser Angriffstechnik geschützt sein.

Outpost24’s KrakenLabs werden weiterhin neue Malware-Samples als Teil unserer Threat Intelligence-Lösung analysieren, die kompromittierte Zugangsdaten in Echtzeit ermitteln kann, um so unbefugten Zugriff auf Ihre Systeme zu verhindern. Wir beraten Sie gerne, wie die TI-Lösung von Outpost24 zur Verbesserung der Sicherheitslage Ihrer Organisation beitragen kann.