CyberInsights
Der Blog rund um
Ihre Datensicherheit

Warnung vor „HermeticWiper Malware“ durch russische APT Gruppen

Warnung vor „HermeticWiper Malware“ durch russische APT Gruppen

Im Angesicht des derzeitigen Krieges zwischen Russland und der Ukraine wurde beobachtet, dass mehrere APT-Gruppen, die Russland zugeordnet werden, eine neue datenlöschende Malware für Angriffe nutzen, die von der IT-Security Community HermeticWiper getauft wurde. Referenzen zu Indicators of Compromise (IOCs), die Sie unter [4] finden können, werden mit {} gekennzeichnet. Eine entsprechende Auflistung von bekannten Indikatoren können sie unserer IOC Liste entnehmen.

HermeticWiper – Angriffskette 1

Der Angriff startet damit, dass ein potenzielles Opfer eine bösartige E-Mail mit einem Archiv im Anhang erhält. Es wurde beobachtet, dass es sich bei den Archiven meist um rar-Dateien handelt, jedoch wurden auch zip- und 7zip-Archive bereits gemeldet. Dieses Archiv enthält ein bösartiges Dokument, welches einen thematischen Bezug zum derzeitigen Krieg zwischen Russland und der Ukraine hat, dies kann sich in der Zukunft aber auch noch ändern. Das Dokument enthält Makrocode, der beim Öffnen des Dokumentes ein VBScript erzeugt und ausführt. Dieses VBScript wurde als die bereits bekannte Malware GammaLoad identifiziert.

Dieses Skript sammelt im ersten Schritt Informationen über das Zielsystem und vorhandene Benutzer und bereitet diese Informationen für eine Exfiltration zu einem C2-Server vor. Im Anschluss führt das besagte Skript ein WMI-Skript aus {T01}, welches sich die IP-Adresse, der vorher durch den Angreifer definierten C2-URL {T13} beschafft.

Im nächsten Schritt wird eine Payload {T15.x} heruntergeladen und die vorher gesammelten Daten an den C2-Server übermittelt. Diese Übermittlung erfolgt mit einem UserAgent der eine feste Zeichenkette {T02} beinhaltet. Bei der Payload handelt es sich um ein Programm zur Fernsteuerung von Computern, am häufigsten wurde bisher UltraVNC beobachtet (Siehe {T03.x} für weitere mögliche Optionen). Diese Software erlaubt es dem Angreifer weitreichend auf das betroffene System zuzugreifen und Attacken auszuführen, die bspw. zur Folge haben, dass Daten gelöscht werden oder das Zielsystem sogar zerstört wird.

HermeticWiper - Angriffskette 1
Abbildung 1: Visualisierung der 1. Angriffskette (Quelle: [3])

HermeticWiper – Angriffskette 2

Eine zweite Angriffskette wurde identifiziert, bei der das Opfer ebenfalls eine bösartige E-Mail erhält, die ein maliziöses Archiv im Anhang enthält. Bei diesen Archiv kann es sich, genau wie zuvor auch, um rar-, zip- oder 7zip-Dateien handeln. Dieses Mal enthält das Archiv allerdings eine maliziöse Windows Verknüpfungsdatei (.lnk), die einen bösartigen Link enthält, über den ein MSI Skript heruntergeladen wird {T17x}. Dieser wird nach dem Herunterladen ausgeführt und startet einen NSIS Installer, der neben Lockvogeldateien (bisher wurden Bilder und Dokumente beobachtet) auch eine bösartige DLL {T12.x} erzeugt, die mit einem C2-Server {T16.x} kommuniziert und Daten vom Opfersystem löscht. Diese DLL tarnt sich dabei als vermeintlicher Treiber {T06 ->T09}.

HermeticWiper - Angriffskette 2
Abbildung 2: Visualisierung der 2. Angriffskette (Quelle: [3])

Referenzen und Links

[1] https://twitter.com/ESETresearch/status/1496581903205511181
[2] https://twitter.com/threatintel/status/1496578746014437376
[3] https://www.zscaler.com/blogs/security-research/hermetic-wiper-resurgence-targeted-attacks-ukraine

Button

Folgen Sie uns auf

Abonnieren Sie unseren Newsletter rund um das Thema Cybersicherheit

Mit unserem Cyberletter sind Sie stets topaktuell informiert - über Schwachstellenmeldungen, aktuelle IT-Bedrohungsszenarien sowie andere relevante Nachrichten aus dem Bereich Cyber Security und Datensicherheit

Mit der Anmeldung akzeptiere ich den Umgang mit meinen personenbezogenen Daten (§13 DSGVO) und stimme der Datenschutzerklärung zu.