Hüten Sie sich vor diesem neuen Windows-Cyberangriff – was Sie über den Tax 2024-Backdoor-Hack wissen müssen.
Ein neuer Cyberangriff, der als FLUX#CONSOLE verfolgt wird, nutzt Bedenken der Benutzer hinsichtlich Steuerproblemen aus, um einen Exploit zu starten, der mit einer Backdoor-Nutzlast für die Windows-Verwaltungskonsole endet. Hier erfahren Sie, was Sie über die Angriffsmethodik und -abwehr wissen müssen.
Analyse des Windows-Phishing-Angriffs FLUX#CONSOLE
Windows-Phishing-Angriffe sind nicht neu. Benutzen Steuerfragen als Lockmittel bei solchen Angriffen ist nichts Neues. Sogar Windows-Backdoor-Payloads sind leider nicht neu. Sie alle in einem Angriffs-Exploit zusammenzufassen, ist jedoch alles andere als alltäglich. Die FLUX#CONSOLE-Kampagne geht relativ ungewöhnliche Wege, sagen die Securonix-Sicherheitsforscher Den Luzvyk und Tim Peck darin, „wie die Bedrohungsakteure Microsoft Common Console-Dokumentdateien nutzen, um einen Dual-Purpose-Loader und Dropper einzusetzen, um weitere bösartige Payloads zu liefern.“ ”
Die wichtigsten Erkenntnisse aus dem neu veröffentlichte Securonix FLUX#CONSOLE Windows-Bedrohungskampagnenanalyse inklusive:
- Die Angreifer nutzten Dokumentenköder mit Steuermotiven, um die Opfer dazu zu verleiten, bösartige Payloads herunterzuladen und auszuführen.
- Die Angreifer nutzten die Ausnutzung von Microsoft Common Console-Dokumentdateien, um deren legitimes Erscheinungsbild auszunutzen und so die Erkennung zu umgehen.
- Ein kopierter legitimer Windows-Prozess, Dism.exe, wurde verwendet, um eine schädliche Dynamic Link Library-Datei von der Seite zu laden.
- Die Angreifer hielten ihre Persistenz durch den Einsatz geplanter Aufgaben aufrecht, um sicherzustellen, dass die Backdoor-Malware-Payload aktiv blieb und Systemneustarts nach der Installation überlebte.
- Mehrere Verschleierungsebenen wurden eingesetzt, um die forensische Analyse abzulenken und zu erschweren und die Erkennung zu behindern, darunter „stark verschleiertes JavaScript, versteckte DLL-basierte Malware und C2-Kommunikation“.
Die Windows-Backdoor-Exploit-Angriffsmethode
Der Angriff beginnt wahrscheinlich mit einem Phishing-E-Mail-Link oder -Anhang. Obwohl die Forscher nicht in der Lage waren, die ursprüngliche E-Mail zu erhalten, deutete die in den Dateinamen verwendete Nomenklatur auf Einkommenssteuerabzüge und Rückerstattungen als Köder hin. Die Bedrohungsakteure nutzten „Snap-In-Dateien“ der Microsoft Management Console aus, die normalerweise zur Konfiguration von Verwaltungstools in Windows verwendet werden. Denken Sie zum Beispiel an die Ereignisanzeige, den Aufgabenplaner und den Geräte-Manager. „Beim Doppelklicken“, heißt es in der Analyse, „startet eine .msc-Datei automatisch das MMC-Framework (mmc.exe) und führt die enthaltenen Anweisungen aus.“ Dazu gehört auch die Ausführung beliebigen Codes ohne ausdrückliche Zustimmung des Benutzers. Die Forscher sagten, dass die Codeausführung begann, als der Benutzer in dem von ihnen zitierten Beispiel auf eine Datei namens „Inside ARRVL-PAX-MNFSTPK284-23NOV.pdf.msc“ doppelklickte, die als PDF getarnt ist. Diese Verschleierung wurde durch die Tatsache unterstützt, dass „die Einstellung für die Sichtbarkeit allgemeiner Erweiterungen in modernen Windows-Versionen standardmäßig deaktiviert ist“, sagten die Forscher. Darüber hinaus zielt diese Verschleierung anscheinend darauf ab, die Erkennung durch Antivirenprogramme zu verhindern, da die schädliche Datei .msc laut VirusTotal zum Zeitpunkt des Schreibens nur „3/62 positive Erkennungen“ erzielte, heißt es in dem Bericht.
Eindämmung der Windows FLUX#CONSOLE-Angriffskampagne
Die FLUX#CONSOLE-Kampagne unterstreicht den anhaltenden Einsatz moderner Verschleierungstechniken bei der Malware-Entwicklung, so die Securonix-Analyse, und „dient als Erinnerung daran.“ die sich weiterentwickelnden Taktiken der Bedrohungsakteure und die wachsenden Herausforderungen, denen sich die Verteidiger gegenübersehen bei der Eindämmung dieser raffinierten Bedrohungen.“
Ich habe Microsoft um eine Stellungnahme gebeten.
Um die Bedrohung durch die Windows-Hintertür, die diese Kampagne darstellt, einzudämmen, empfahl Securonix Benutzern, das Herunterladen von Dateien oder Anhängen von externen Quellen zu vermeiden, insbesondere wenn die Quelle unaufgefordert war. „Da .msc-Dateien ausgenutzt wurden“, sagten die Forscher, „suchen Sie nach ungewöhnlichen untergeordneten Prozessen, die aus dem legitimen Windows-Prozess mmc.exe hervorgehen.“ Securonix empfahl außerdem dringend den Einsatz „robuster Endpunktprotokollierungsfunktionen zur Unterstützung der PowerShell-Erkennung“, einschließlich „der Nutzung zusätzlicher Protokollierung auf Prozessebene wie Sysmon- und PowerShell-Protokollierung für eine zusätzliche Abdeckung der Protokollerkennung“.
