Eine russischsprachige Ransomware-Gruppe hat es wahrscheinlich auf ein ungenanntes Unternehmen aus dem Glücksspielsektor in Europa und Mittelamerika abgesehen, indem sie von anderen APT-Gruppen wie der iranischen MuddyWater entwickelte Tools wiederverwendet hat, wie neue Untersuchungen ergeben haben.
Die ungewöhnliche Angriffskette beinhaltete den Missbrauch gestohlener Anmeldeinformationen, um sich unberechtigten Zugang zum Netzwerk des Opfers zu verschaffen, was schließlich zum Einsatz von Cobalt Strike Nutzdaten auf den kompromittierten Anlagen führte, so Felipe Duarte und Ido Naor, Forscher bei der israelischen Incident Response Firma Security Joes, in einem letzte Woche veröffentlichten Bericht.
Obwohl die Infektion in diesem Stadium eingedämmt werden konnte, bezeichneten die Forscher die Kompromittierung als einen Fall eines mutmaßlichen Ransomware-Angriffs.
Der Einbruch soll im Februar 2022 stattgefunden haben, wobei die Angreifer Tools wie ADFind, NetScan, SoftPerfect und LaZagne nutzten. Außerdem wurde eine ausführbare Datei namens AccountRestore verwendet, um die Zugangsdaten von Administratoren zu erzwingen, sowie eine gefälschte Version eines Reverse-Tunneling-Tools namens Ligolo.
Bei der modifizierten Variante namens Sockbot handelt es sich um eine Golang-Binärdatei, die dazu dient, interne Ressourcen eines kompromittierten Netzwerks unbemerkt und sicher ins Internet zu bringen. Die Änderungen an der Malware machen die Verwendung von Befehlszeilenparametern überflüssig und beinhalten mehrere Ausführungskontrollen, um die Ausführung mehrerer Instanzen zu vermeiden.
Da Ligolo eines der bevorzugten Tools der iranischen Gruppe MuddyWater ist, hat die Verwendung eines Ligolo-Forks die Möglichkeit aufgeworfen, dass die Angreifer Tools anderer Gruppen verwenden und ihre eigenen Signaturen einfügen, um die Zuordnung zu verwirren.
Die Verbindungen zu einer russischsprachigen Ransomware-Gruppe ergeben sich aus Überschneidungen von Artefakten mit gängigen Ransomware-Toolkits. Außerdem enthält eine der eingesetzten Binärdateien (AccountRestore) fest codierte Verweise auf Russisch.
„Die von den Bedrohungsakteuren angewandte Strategie, sich Zugang zur Infrastruktur des Opfers zu verschaffen und diese zu übernehmen, lässt auf einen hartnäckigen, hochentwickelten Feind schließen, der über einige Programmierkenntnisse, Red-Teaming-Erfahrung und ein klares Ziel vor Augen verfügt, das weit vom Profil eines gewöhnlichen Skript-Kiddies entfernt ist“, so die Forscher.
„Die Tatsache, dass der Einstiegspunkt für dieses Eindringen eine Reihe von kompromittierten Zugangsdaten war, macht deutlich, wie wichtig es ist, zusätzliche Zugangskontrollen für alle verschiedenen Ressourcen in einem Unternehmen anzuwenden.