Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Angreifer verbreiten Malware über bösartige JARs und Polyglot-Dateien
Januar 26, 2023 - TuxCare PR Team
Deep Instinct-Forscher berichteten, dass RATs wie StrRAT und Ratty in einer Kampagne im Jahr 2022 über Polyglot- und JAR-Dateien eingesetzt wurden. Beide Bedrohungen scheinen an denselben C2-Server zu berichten, was darauf hindeutet, dass sich eine Gruppe auf die Ausnutzung einer von ihr entdeckten Schwachstelle konzentriert.
Diese neue RAT-Verteilungskampagne kombiniert die Dateiformate JAR und MSI in einer einzigen Datei. Die MSI+JAR-Polyglott-Technik hingegen wurde 2019 entdeckt, erhielt eine CVE-Nummer - CVE-2020-1464 - und wurde sogar gepatcht. Es ist erwähnenswert, dass die Korrektur anscheinend unzureichend war.
Berichten zufolge hatten die Bedrohungsakteure mäßigen Erfolg bei der Umgehung der Erkennung durch Antivirenprogramme. Dies ist bezeichnend, wenn man bedenkt, wie alt und gut dokumentiert die beiden RATs sind. Die StrRAT-Nutzlast wurde in einer Kampagne verwendet, die sowohl JAR- als auch MSI-Dateiformate nutzte, was darauf hindeutet, dass sie sowohl unter Windows als auch unter Java Runtime Environments ausgeführt werden konnte.
Dem Bericht zufolge wurden bei einer anderen Kampagne StrRAT und Ratty mit Hilfe von CAB- und JAR-Polyglots eingesetzt, wobei die URL-Verkürzungsdienste rebrand.ly und cutt.ly zur Verbreitung der Artefakte verwendet wurden.
Sendgrid und URL-Verkürzungsdienste wie Cutt.ly und Rebrand.ly werden für die Verbreitung der Polyglots in dieser Kampagne verwendet, während die abgerufenen StrRAT- und Ratty-Nutzdaten in Discord gespeichert werden.
Was die Erkennung anbelangt, so werden die CAB/JAR-Polyglots von 59 AV-Engines auf Virus Total sechsmal positiv erkannt, während die MSI/JAR-Polyglots von 30 Sicherheitsanbietern identifiziert werden. Die Erkennungsrate schwankt daher zwischen 10 % und 50 %.
Er verschafft sich den ersten Zugang durch Phishing; Cybersecurity-Experten haben diesen gefährlichen Link in verschiedenen bösartigen Umgebungen entdeckt, indem sie URL-Verkürzer verwenden, um ahnungslose Opfer auszutricksen: Rebrand[.]ly/afjlfvp. Um eine Entdeckung zu vermeiden, wird eine signierte MSI-Datei verwendet, die wie folgt aussieht: 85d8949119dad6215ae0a21261b037af.
"Die richtige Erkennung für JAR-Dateien sollte sowohl statisch als auch dynamisch sein. Es ist ineffizient, jede Datei auf das Vorhandensein eines End-of-Central-Directory-Records am Ende der Datei zu überprüfen. Verteidiger sollten sowohl "java"- als auch "javaw"-Prozesse überwachen. Wenn ein solcher Prozess "-jar" als Argument hat, sollte der als Argument übergebene Dateiname als JAR-Datei behandelt werden, unabhängig von der Dateierweiterung oder der Ausgabe des Linux-Befehls "file"", so der Bericht.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
