Best Practices für IT/CybersicherheitMalware

UNC4990-Bedrohungsgruppe: Ausnutzung von USB-Geräten und legitimen Plattformen

ITFunk-Forschung
ITFunk-Forschung
UNC4990-Bedrohungsgruppe: Ausnutzung von USB-Geräten und legitimen Plattformen

In einer aktuellen Enthüllung hat das Cybersicherheitsunternehmen Mandiant die Aktivitäten eines finanziell motivierten Bedrohungsakteurs namens UNC4990 aufgedeckt. Diese hochentwickelte Gruppe nutzt eine einzigartige Kombination aus USB-basierten Angriffen und der Ausnutzung legitimer Online-Plattformen, darunter GitHub, Vimeo und Ars Technica. Durch das Verbergen verschlüsselter Nutzlasten in scheinbar harmlosen Inhalten auf diesen Plattformen gelingt es UNC4990, einer Entdeckung zu entgehen und das mit seriösen Content-Delivery-Netzwerken verbundene Vertrauen zu nutzen.

Inhalte

USB-basierte Angriffstaktiken des UNC4990

Zu den Maßnahmen von UNC4990 gehört die Initiierung von Kampagnen durch USB-Geräte enthält schädliche LNK-Verknüpfungsdateien. Sobald diese Dateien versehentlich von Opfern ausgeführt werden, wird ein PowerShell-Skript namens explorer.ps1 ausgelöst. Dieses Skript wiederum lädt eine Zwischennutzlast herunter, die entschlüsselt wird, um eine URL anzuzeigen, die den Malware-Downloader namens „EMPTYSPACE“ abruft.

Der Bedrohungsakteur setzt verschiedene Hosting-Methoden für diese Zwischennutzlasten ein, darunter verschlüsselte Textdateien auf GitHub und GitLab. Allerdings hat die Gruppe ihre Strategien geändert, um Vimeo und Ars Technica zum Hosten von Base64-codierten und AES-verschlüsselten String-Nutzlasten auszunutzen. Wichtig ist, dass UNC4990 keine Schwachstellen in diesen Plattformen ausnutzt, sondern regelmäßig reguläre Funktionen wie Ars Technica-Forenprofile und Vimeo-Videobeschreibungen geschickt nutzt.

Diese Payloads, scheinbar harmlose Textzeichenfolgen innerhalb der Hosting-Plattformen, spielen eine entscheidende Rolle in der Angriffskette und erleichtern das Herunterladen und Ausführen von Malware. Durch die Einbettung bösartiger Payloads in legitime Inhalte und die Nutzung seriöser Plattformen gelingt es UNC4990, unter dem Radar zu agieren, was es für Sicherheitssysteme schwierig macht, sie als verdächtig zu kennzeichnen.

Die Mehrkomponenten-Hintertür des UNC4990: QUIETBOARD

Im Verlauf der UNC4990-Angriffskette setzt die Bedrohungsgruppe QUIETBOARD ein, eine hochentwickelte Hintertür mit vielfältigen Funktionen. Sobald diese Mehrkomponenten-Hintertür aktiviert ist, führt sie Befehle vom Befehls- und Kontrollserver (C2) aus. Zu seinen Funktionen gehören das Ändern des Inhalts der Zwischenablage zum Zweck des Kryptowährungsdiebstahls, das Infizieren von USB-Laufwerken zur Verbreitung von Malware, das Aufnehmen von Screenshots zum Zweck des Informationsdiebstahls und das Sammeln detaillierter System- und Netzwerkinformationen. QUIETBOARD bleibt auch nach Systemneustarts bestehen und unterstützt das Hinzufügen neuer Funktionen durch zusätzliche Module.

Trotz herkömmlicher Präventionsmaßnahmen bleibt USB-basierte Malware eine erhebliche Bedrohung und dient Cyberkriminellen als effektives Verbreitungsmedium. Der innovative Ansatz von UNC4990, scheinbar harmlose Plattformen für Zwischennutzlasten zu nutzen, stellt herkömmliche Sicherheitsparadigmen in Frage und unterstreicht die Notwendigkeit kontinuierlicher Wachsamkeit in der dynamischen Landschaft der Cybersicherheit.

Schutz vor UNC4990 und ähnlichen Bedrohungen

  1. Verbessern Sie die Endpunktsicherheit: Verstärken Sie die Endpunktsicherheitsmaßnahmen, um die Ausführung schädlicher LNK-Verknüpfungsdateien und PowerShell-Skripte zu erkennen und zu verhindern.
  2. Wachsamkeit bei USB-Geräten: Seien Sie vorsichtig bei der Verwendung von USB-Geräten und vermeiden Sie die Ausführung unbekannter oder verdächtiger Dateien.
  3. Regelmäßige Sicherheitsaudits: Führen Sie routinemäßige Sicherheitsüberprüfungen durch, um Schwachstellen in Systemen und Netzwerken zu identifizieren und zu beheben.
  4. Benutzerschulung: Informieren Sie Benutzer über die Risiken, die mit USB-basierten Angriffen verbunden sind, und darüber, wie wichtig es ist, unbekannte oder nicht überprüfte Inhalte zu vermeiden.
  5. Netzwerküberwachung: Implementieren Sie eine robuste Netzwerküberwachung, um ungewöhnliche Aktivitäten und Kommunikationen zu erkennen, die auf eine Kompromittierung hinweisen könnten.
  6. Sicherheitsrichtlinien aktualisieren: Aktualisieren Sie die Sicherheitsrichtlinien regelmäßig, um auf neue Bedrohungen zu reagieren und vorbeugende Maßnahmen zu verstärken.

Die Taktiken von UNC4990 unterstreichen die Notwendigkeit eines proaktiven und mehrschichtigen Cybersicherheitsansatzes. Sowohl Organisationen als auch Einzelpersonen müssen informiert bleiben, wachsam bleiben und ihre Sicherheitspraktiken kontinuierlich anpassen, um neuen Bedrohungen entgegenzuwirken Bedrohungen. Angesichts der innovativen Strategien von UNC4990 ist eine gemeinsame Anstrengung zur Stärkung der Cybersicherheitsresilienz von größter Bedeutung.

A0Backdoor-Trojaner
LQTOREQ Ransomware
Evolutionsdieb
Backdoor.Agent Malware
Directsearchapp.com-Hijacker
GEKENNZEICHNET:
Diesen Artikel
Zurück Artikel Re-captha-version-3-21.icu Browser-Hijacker: Eine umfassende Anleitung
Nächster Artikel CVE-2022-48618: Apple-Fehler in macOS und iOS aktiv ausgenutzt
Hinterlasse einen Kommentar

Schreiben Sie bitte einen Kommentar.

E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind MIT * gekennzeichnet. *

Scannen Sie Ihr System auf Malware

Lassen Sie Ihr System nicht ungeschützt. Herunterladen SpyHunter Laden Sie sich noch heute kostenlos herunter und scannen Sie Ihr Gerät auf Malware, Betrug und andere potenzielle Bedrohungen. Bleiben Sie geschützt!

SpyHunter 5 herunterladen
✅ Kostenloser Scan verfügbar • ⭐ Erkennt Malware sofort

GESCHÄFTSBEDINGUNGEN UND DIENSTLEISTUNGEN