Der Remote Access Trojaner (RAT) MineBridge ist laut dem ThreatLabZ-Team von Zscaler im Januar wieder mit einer neuen Kampagne aufgetaucht, die ihre Payload über Makros in Word-Dokumenten verbreitet. Als Köder wird dabei ein Word-File in Form eines Lebenslaufs eines Bewerbers für den Posten eines Senior Threat Intelligence-Analysten verwendet.
Der Remote Access Trojaner MineBridge wurde zuletzt im März 2020 beobachtet. Seitdem hat sich das Vorgehen der Bedrohungsakteure im Hinblick auf die eingesetzten Taktiken, Techniken und das Prozedere (TTPs) gewandelt. Dennoch bestehen deutliche Gemeinsamkeiten zwischen der ursprünglichen und aktuellen Kampagne der Malware-Akteure.
Wie schon im März letzten Jahres wird ein manipulierter Lebenslauf als Social Engineering Taktik und eine vergleichbare Command & Control-Infrastruktur (C2) eingesetzt. Dahinter wird die Gruppierung TA505 vermutet, die auch für den Banking-Trojaner Dridex und die Ransomware Locky verantwortlich ist. Aufgrund des geringen Verbreitungsvolumens der bisher aufgespürten Malware-Samples scheint es sich allerdings um einen Angreifer mit moderatem Vertrauen in die Vorgehensweise zu handeln.
Technische Analyse
Das makrobasierte Word-Dokument wird mit dem MD5-Hash f95643710018c437754b8a11cc943348 verschlüsselt. Wird das Word-Dokument geöffnet und das Makro aktiviert, wird die folgende Meldung angezeigt: „Datei erfolgreich aus PDF konvertiert“. Daraufhin wird der Lebenslauf des Threat Intelligence Analysten angezeigt. Der im Hintergrund gestartete Remote Access Trojaner konstruiert eine Befehlszeile und führt sie dann mithilfe von WMI aus.
Dieser Befehl nutzt das Windows-Dienstprogramm finger.exe, um verschlüsselte Inhalte von der IP-Adresse herunterzuladen und im Appdata-Verzeichnis abzulegen. Der verschlüsselte Inhalt wird mit dem legitimen Windows-Dienstprogramm certutil.exe entschlüsselt und ausgeführt.
Die Verwendung von finger.exe zum Herunterladen der verschlüsselten Inhalte vom Command & Control-Server ist eine der wichtigsten Veränderungen in der Vorgehensweise des RAT. In der neuen Instanz werden nun vermehrt Living-Off-the-Land-Binärdateien (LOLBins) zum Herunterladen, Entschlüsseln und Ausführen der Inhalte verwendet.
Fazit
Phishing-E-Mails, die manipulierte Lebensläufe enthalten, werden seit ein paar Jahren erfolgreich als Kampagnen eingesetzt. Neu ist, dass nun auch Profile von Sicherheitsforschern als Aufhänger genutzt werden. Der in diesem Fall verwendete RAT ist ein alter Bekannter, der nun mit neuen Tricks auf sich aufmerksam macht.
Als Sicherheitsmaßnahme empfehlen die Zscaler ThreatLabs-Analysten das Überprüfen der Quelle von Dokumenten, bevor diese geöffnet werden. Als zusätzliche Vorsichtsmaßnahme sollten Benutzer keine Makros für Microsoft Office-Dateien aktivieren, die nicht von vertrauenswürdigen Quellen stammen, um so das Ausführen von bösartigem Code zu unterbinden.