Vorsicht vor Maulwurf: HYPERBRO-Schadsoftware spioniert deutsche Wirtschaftsunternehmen aus
Vorsicht vor Maulwurf: HYPERBRO-Schadsoftware spioniert deutsche Wirtschaftsunternehmen aus
Kürzlich erreichte uns ein Event mit der Bezeichnung ‚Autorun Keys Modification‘, das ein Registry-Eintrag ohne administrative Rechte ‚HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\windefenders‘ meldete. Dies erschien uns zunächst nicht ungewöhnlich. Unsere anschließende Analyse ergab jedoch, dass ein weiteres Event ‚Sysmon – Suspicious Process – svchost.exe‘ mit diesem Event in Verbindung stand und den Prozess ‚msiexec.exe‘ startete. Die Untersuchung der Hash-Informationen des Prozesses zeigte, dass dieser Prozess von der Hacker-Gruppe APT27 verwendet wird, um die HYPERBRO-Schadsoftware auszuführen. Zudem wurde eine Verbindung zu einem hartkodierten C2-IP-Adresse über dem TCP-Port 443 detektiert.
Bei HYPERBRO handelt es sich um ein Remote-Access-Tool (RAT), welches die legitime Software CyberArk mit abgelaufenem Zertifikat ausführt, um anschließend eine maliziöse DLL-Datei zu laden und bei der Ausführung des Payloads die Malware zu konfigurieren.
Weitere Recherchen führten uns zu dem aktuellen BfV Cyber-Brief, in dem auf dieses aktuelle Angriffsszenario hingewiesen wird. Laut Angaben von BfV kann nicht ausgeschlossen werden, dass die Akteure hinter HYPERBRO neben dem Diebstahl von Geschäftsgeheimnissen und geistigem Eigentum versuchen, die Netzwerke der (Unternehmens-)Kunden beziehungsweise von Dienstleistern zusätzlich zu infiltrieren (Supply-Chain-Angriff).
Die Bedrohungsakteure haben vor der Veröffentlichung Kenntnis über Schwachstellen der Software Zoho Manage Engine ADSelfService Plus (CVE-2021-40539) sowie in Microsoft Exchange Server 2013, 2016 und 2019 (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065) und haben diese als Einfallstor zur Auslieferung von HYPERBRO verwendet.
In unserem vorliegenden Fall haben wir unseren Kunden umgehend durch unser Team informiert, sodass gravierende Folgen vermieden werden konnten.
Unsere Handlungsempfehlungen:
– Es wird empfohlen, die eigenen Systeme auf Verbindungen zu folgenden externen IPs 104.168.236.46, 103.79.77.200 und 87.98.190.184 zu prüfen.
– Insbesondere sollte in Logdateien und aktiven Netzwerkverbindungen nach Verbindungen zu den externen Systemen mit den IPs 104.168.236.46, 103.79.77.200 und 87.98.190.184 gesucht werden.
– Da die bereitgestellten IPs durch den Akteur ggf. gewechselt werden, sollten wenn vorhanden historische Netzwerk-Logs (insbesondere seit Februar 2021) geprüft werden, um bereits in der Vergangenheit erfolgte Infektionen auszuschließen.
-Zudem kann, die vom BfV zur Verfügung gestellte Yara-Regel zur Identifikation des HYPERBRO Loader Shellcodes in der Datei thumb.dat und ggf. während der Ausführung in Memory verwendet werden, um nach einer Infektion durch HYPERBRO zu suchen.
Quelle: BfV Cyber-Brief Nr. 01/2022