Das Cybersicherheitsunternehmen Cybereason hat eine Cyberspionagekampagne mit neuer Malware aufgedeckt, die für die Befehls- und Kontrollkommunikation auf Facebook, Google Drive und Dropbox basiert. Die Hackergruppe Molerats steht hinter der neuen Kampagne, die zwei neue Hintertüren namens SharpStage und DropBook sowie einen bisher undokumentierten Malware-Downloader namens MoleNet nutzt, um beliebte Cloud-Dienste zu missbrauchen. Die Malware soll einer Entdeckung entgehen, indem sie die Dienste Dropbox und Facebook nutzt, um Daten zu stehlen und Anweisungen von deren Betreibern zu erhalten. Sobald die Daten der Zielbenutzer gestohlen wurden, nutzen die beiden Hintertüren Dropbox, um sie zu extrahieren. Die Kampagne richtet sich an Politiker oder Regierungsbeamte im Nahen Osten mit einer E-Mail, die sie dazu verleitet, schädliches Material herunterzuladen. Allerdings zeigt das Dokument nur eine Zusammenfassung seines Inhalts an und die Empfänger müssen dann passwortgeschützte Dateien herunterladen, die auf Dropbox oder Google Drive gespeichert sind, um alle Informationen anzuzeigen. Auf diese Weise können Molerats Benutzer mit ihren SharpStage- und DropBook-Hintertüren infizieren, die dann zusätzliche Malware herunterladen können.
Missbrauch von Cloud-Plattformen
Laut einem neuen Bericht des Nocturnus-Teams von Cybereason erhält die Python-basierte DropBook-Backdoor Anweisungen nur auf Facebook und der iOS-Notiz-App Simplenote. Hacker können die Hintertür mithilfe von Befehlen kontrollieren, die in einem Facebook-Beitrag mit Simplenote als Hintergrund gepostet werden. DropBook kann installierte Programme und Dateinamen auf einem System überprüfen, Shell-Befehle von Facebook oder Simplenote ausführen und zusätzliche Dropbox-Nutzlasten abrufen. Die andere Hintertür von Molerats, SharpStage, basiert auf einem herkömmlichen Befehls- und Kontrollserver, anstatt sich für Anweisungen auf Cloud-Dienste zu verlassen. Obwohl Cybereason drei Varianten von SharpStage entdeckt hat, haben sie alle ähnliche Funktionen, einschließlich der Möglichkeit, Screenshots zu machen, beliebige Befehle auszuführen und vom Befehls- und Kontrollserver empfangene Daten zu dekomprimieren. Die beiden Hintertüren werden verwendet, um arabischsprachige Benutzer anzusprechen, und ihr Code kann kompromittierte Computer überprüfen, um festzustellen, ob die arabische Sprache installiert ist. Das Cybersicherheitsunternehmen entdeckte außerdem, dass Molerats eine andere Malware namens MoleNet verwendet, die WMI-Befehle ausführen kann, um ein Betriebssystem zu profilieren, Debugger zu finden, eine Maschine über die Befehlszeile neu zu starten, Details über das Betriebssystem herunterzuladen, neue Payloads abzurufen und Persistenz zu schaffen ein Betriebssystem. Zielsystem. Durch die Verwendung beliebter Cloud-Plattformen zur Kommunikation mit ihrer Malware hat die Molerats-Gruppe die Erkennung ihrer Spionageversuche erheblich erschwert. Interessierte Benutzer können sich den vollständigen Molerats in the Cloud-Bericht von Cybereason ansehen, um mehr über die jüngsten Kampagnen, die Infrastruktur und frühere Malware der Gruppe zu erfahren.- Wir haben auch die besten VPN-Dienste hervorgehoben