Cyberbedrohungen
Skype und Teams als Einstieg für DarkGate
Eine Kampagne nutzt die Messaging-Plattformen Skype und Teams aus, um die DarkGate-Malware an gezielte Organisationen zu verteilen. Es ist wichtig zu verstehen, was passiert, um die richtigen Maßnahmen gegen die Angriffe zu treffen.
Save to Folio
Zwischen Juli und September beobachteten wir, dass die DarkGate-Kampagne (von Trend Micro als TrojanSpy.AutoIt.DARKGATE.AA erkannt) Instant-Messaging-Plattformen missbrauchte, um ein VBA-Loader-Skript an die Opfer zu senden. Dieses Skript lud in einer zweiten Phase eine Payload herunter und führte sie aus. Die Payload besteht aus einem AutoIT-Skript, das den DarkGate-Schadcode enthielt. Es ist unklar, wie die Konten der Instant-Messaging-Anwendungen kompromittiert wurden, vermutlich geschah dies entweder durch geleakte Anmeldedaten aus Untergrundforen oder durch die vorherige Kompromittierung der Mutterorganisation. DarkGate war in den letzten Jahren nicht sehr aktiv. In diesem Jahr jedoch sahen wir mehrere Kampagnen, wie Truesec und MalwareBytes berichteten.
Hintergrund
DarkGate wird als Commodity-Loader eingestuft, der Ende 2017 bekannt wurde. Versionen von DarkGate werden seit Mai 2023 im russischsprachigen Forum eCrime beworben. Seitdem ist ein Anstieg der Zahl der Ersteinstiegsangriffe mit dem Schadprogramm zu beobachten. Die Malware verfügt über verschiedene Funktionen, darunter die Möglichkeit, die folgenden Aktionen durchzuführen:
- Discovery-Befehle ausführen (auch Directory Traversal)
- Self-Update und Self-Manage
- Implementieren von Remote Access Software (etwa RDP, verstecktes virtuelles Netzwerk-Computing (hVNC) und AnyDesk)
- Aktivieren der Funktion zum Schürfen von Kryptowährungen (start, stop und configure)
- Keylogging
- Informationen aus dem Browser stehlen
- Privilegien erhöhen
DarkGate setzt zudem das Windows-spezifische Automatisierungs- und Skripting-Tool AutoIt ein, um seine bösartigen Funktionen bereitzustellen und auszuführen. Zwar ist dies ein legitimes Tool, doch wurde AutoIt häufig von anderen Malware-Familien missbraucht, um die Verteidigung zu umgehen und eine zusätzliche Verschleierungsebene zu schaffen. Bislang gab es jedoch bei keinem der bekannten Loader wie IcedID, Emotet oder Qakbot einen solchen Missbrauch.
Daher gehen Forscher oder Sicherheitsteams davon aus, dass diese Aktivitäten mit der Malware-Kampagne in Verbindung stehen. Beim Vergleich dieser neuesten DarkGate-Variante mit einem Sample von 2018, das ebenfalls AutoIt nutzte, stellten wir fest, dass sich die Routine bezüglich des anfänglichen Stagers und der Ergänzung der Befehlszeilen durch Verschleierung leicht verändert hat. Die Infektionskette bleibt jedoch weitgehend gleich.
Angriffsüberblick
Bei dem von uns analysierten Sample nutzte der Bedrohungsakteur eine Vertrauensbeziehung zwischen den beiden Unternehmen aus, um den Empfänger zur Ausführung des angehängten VBA-Skripts zu verleiten. Der Zugriff auf das Skype-Konto des Opfers ermöglichte es dem Akteur, einen bestehenden Nachrichten-Thread zu kapern und die Namenskonvention der Dateien so zu gestalten, dass sie dem Kontext des Chatverlaufs entsprach.
Die Opfer erhielten eine Nachricht von einem kompromittierten Skype-Konto. Die Nachricht enthielt ein betrügerisches VBS-Skript mit einem Dateinamen in folgendem Format: <Dateiname.pdf> www.skype[.]vbs. Der Abstand im Dateinamen gaukelt dem Benutzer vor, es handle sich bei der Datei um ein PDF-Dokument, während das tatsächliche Format als www.skype[.]vbs verborgen bleibt. Im analysierten Sample kannte der Empfänger den Absender als einen Mitarbeiter eines externen Lieferanten.
Mithilfe von Trend Vision One™ konnten wir den Angriff analysieren. Einzelheiten dazu liefert der Originalbeitrag.
Im Fall eines anderen Samples schickte der Bedrohungsakteur einen Link über eine Microsoft Teams-Nachricht. Hier erlaubte das System des Unternehmens dem Opfer, Nachrichten von externen Benutzern zu empfangen. Truesec dokumentierte Anfang September eine ähnliche DarkGate-Technik. Während die Skype-Routine die VBS-Datei als PDF-Dokument tarnte, versteckten die Angreifer in der Teams-Version stattdessen eine .LNK-Datei. Außerdem stammte das Sample, das Teams missbrauchte, von einem unbekannten externen Absender.
Wir fanden noch eine dritte Verbreitungsmethode für das VBA-Skript, und zwar kommt eine .LNK-Datei in einer komprimierten Datei von der SharePoint-Website des Urhebers. Auch hier nutzten wir Trend Vision One™, um den Angriff zu analysieren. Einzelheiten dazu und weitere Ablaufdetails liefert der Originalbeitrag.
Fazit und Empfehlungen
Da der Bedrohungsakteur auf die Vermarktung und Vermietung von DarkGate umgestiegen ist, könnten die Ziele des Angreifers je nach den beteiligten Partnern unterschiedlich sein. Die Skype-Anwendung wurde rechtmäßig für die Kommunikation mit Drittanbietern verwendet, was das Eindringen in das System erleichterte und/oder die Nutzer dazu verleitete, auf die bösartige Datei zuzugreifen. Der Empfänger war aber nur das erste Ziel, um in der Umgebung Fuß zu fassen. Das eigentliche Bestreben ist immer noch, in die gesamte Umgebung einzudringen, und je nachdem, wer die verwendete DarkGate-Variante gekauft oder geleast hat, können die Bedrohungen von Ransomware bis hin zu Kryptomining reichen. Aus unseren Telemetriedaten geht hervor, dass DarkGate zur Entdeckung von Tools führt, die üblicherweise mit der Ransomware-Gruppe Black Basta in Verbindung gebracht werden.
Solange externes Messaging erlaubt ist oder der Missbrauch vertrauenswürdiger Beziehungen über kompromittierte Konten nicht ausgeschlossen ist, kann diese Technik für den Ersteinstieg in und mit jeder Instant-Messaging-Anwendung (IM) eingesetzt werden. Die Einführung jeder neuen Anwendung in einem Unternehmen sollte von Maßnahmen zur Sicherung und Begrenzung der Angriffsfläche des Unternehmens begleitet werden. In diesem Fall sollten IM-Anwendungen unter der Kontrolle des Unternehmens stehen, um Regeln wie die Sperre externer Domänen, die Kontrolle von Anhängen und wenn möglich, die Implementierung von Scans durchzusetzen.
Die Multifaktor-Authentifizierung (MFA) ist dringend zu empfehlen, um Anwendungen (einschließlich IM) zu schützen, falls gültige Anmeldedaten kompromittiert werden. Auch Listen mit zuzulassenden Anwendungen (Allowlist) stellen einen guten Schutzmechanismus dar, der über Richtlinien auf Hosts eingesetzt werden kann und sicherstellt, dass Endbenutzer nur auf bestimmte Anwendungen zugreifen und diese ausführen können.
Obwohl der Zugangsvektor der Bedrohung nichts Neues ist, zeigt er, dass die Cybersicherheit so links von Angriffen und Infektionsroutinen wie möglich ansetzen sollte. Außerdem sollten Unternehmen regelmäßig informative Verfahren zur Sensibilisierung der Nutzer umsetzen und auch um die Mitarbeiter darauf zu schulen, die neuesten Bedrohungen zu erkennen und sich dagegen zu schützen. Gekaperte Threads, sei es per E-Mail oder Instant Message, beruhen auf der Annahme des Empfängers, dass der Absender derjenige ist, der er vorgibt zu sein, und dass man ihm daher vertrauen kann. Die Befähigung der Nutzer, dieses Vertrauen zu hinterfragen und wachsam zu bleiben, kann daher ein wichtiger Faktor für die Stärkung des Sicherheitsbewusstseins und des Vertrauens sein.
Zudem ist ein gründliches 24/7-Monitoring, die Verteidigung und Erkennung über einen Managed Service für die Sicherheit entscheidend, etwa Trend Micro™ Managed XDR. Unternehmen können auch Trend Vision One™ in Betracht ziehen. Die Lösung kann Bedrohungen über mehrere Sicherheitsebenen hinweg erkennen und darauf reagieren, sowie Endpunkte isolieren als Quelle einer Infektion.
Weitere Informationen und auch die Indicators of Compromise der beiden analysierten Fälle gibt es hier.