ClickCease DarkCasino WinRAR-Exploit: Eine neue APT-Bedrohung taucht auf

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

DarkCasino WinRAR-Exploit: Eine neue APT-Bedrohung taucht auf

Wajahat Raja

30. November 2023. TuxCare-Expertenteam

Im Rahmen einer kürzlich erfolgten Enthüllung im Bereich der Cybersicherheit ist eine gewaltige und hochentwickelte Cyber-Bedrohung aufgetaucht, die auf den Namen DarkCasino hört. Ursprünglich wurde DarkCasino als Phishing-Kampagne der EvilNum-Gruppe angesehen, doch jüngste Analysen des Cybersecurity-Unternehmens NSFOCUS haben DarkCasino neu eingestuft als fortgeschrittene anhaltende Bedrohung (APT). Diese Änderung der Klassifizierung wird auf die bemerkenswerten technischen Fähigkeiten von DarkCasino und seine geschickte Integration verschiedener APT-Angriffstechnologien zurückgeführt. In diesem Blog werden wir die Einzelheiten dieses Angriffs aufdecken DarkCasino WinRAR-Exploit, und beleuchten alle wichtigen Details.

 

DarkCasino: Ein Überblick


NSFOCUS beschreibt DarkCasino in seiner Bewertung als ein
"wirtschaftlich motivierten" Akteur, der erstmals im Jahr 2021 Aufmerksamkeit erregte. DarkCasino verfügt über eine solide technische Grundlage und hat ein Händchen dafür, gängige APT-Angriffstechnologien in seine Operationen einzubinden, und hat sich zu einem hartnäckigen und ausgeklügelten Cyberbedrohungsakteur entwickelt.


DarkCasino Bösartige Aktivität


Ursprünglich wurde DarkCasino als Phishing-Kampagne wahrgenommen, doch die kontinuierlichen Aktivitäten von NSFOCUS haben dazu geführt, dass Verbindungen zu bekannten Bedrohungsakteuren ausgeschlossen werden konnten. Die ersten Aktivitäten des Bedrohungsakteurs konzentrierten sich auf Länder rund um das Mittelmeer und andere asiatische Regionen und zielten hauptsächlich auf Online-Finanzdienstleistungen ab. Jüngste Änderungen bei den Phishing-Methoden haben jedoch die Reichweite von DarkCasino auf Kryptowährungsnutzer weltweit ausgeweitet, einschließlich nicht englischsprachiger asiatischer Länder wie Südkorea und Vietnam.


DarkCasino WinRAR Exploit und CVE-2023-38831


Die jüngsten Exploits von DarkCasino betreffen die
Zero-Day-Ausnutzung von CVE-2023-38831, einer Sicherheitslücke mit einem CVSS-Wert von 7,8. Diese Schwachstelle ist für DarkCasino zu einer bevorzugten Waffe geworden, die den Einsatz von bösartigen Nutzdaten ermöglicht. Unter August 2023enthüllte Group-IB reale Angriffe die Software-Schwachstellen ausnutzenSeit mindestens April 2023 zielen die Angriffe speziell auf Online-Handelsforen ab. Die letzte Nutzlast mit dem Namen DarkMe ist ein Visual Basic-Trojaner, der DarkCasino zugeschrieben wird.


DarkMe: Eine mächtige Bedrohung


DarkMe ist mit vielfältigen Fähigkeiten ausgestattet und stellt eine ernsthafte Bedrohung für kompromittierte Hosts dar. Zu seinen Funktionen gehören das Sammeln von Host-Informationen, das Erstellen von Screenshots, die Manipulation von Dateien und der Windows-Registrierung, das Ausführen beliebiger Befehle und die Selbstaktualisierung des kompromittierten Hosts. Die Raffinesse von DarkMe unterstreicht das Engagement von DarkCasino, seine Ziele zu erreichen.


Globale Auswirkungen und unsichere Herkunft


Während DarkCasino zunächst mit der Phishing-Kampagne der EvilNum-Gruppe in Verbindung gebracht wurde, die auf europäische und asiatische Online-Glücksspiel-, Kryptowährungs- und Kreditplattformen abzielte, behauptet NSFOCUS, dass eine kontinuierliche Verfolgung Verbindungen zu bekannten Bedrohungsakteuren ausgeschlossen hat. Die genaue Herkunft des Bedrohungsakteurs ist nach wie vor unbekannt, was ein Element der
Prävention von Cyberangriffen.


Zusammenarbeit von Bedrohungsakteuren


Mehrere Bedrohungsakteure haben sich dem Zug der Ausnutzung von
CVE-2023-38831 in den letzten Monaten. Namhafte Organisationen wie APT28, APT29, APT40, Dark Pink, Ghostwriter, Konni und Sandworm haben diese Sicherheitslücke ausgenutzt. Insbesondere die Angriffsketten von Ghostwriter haben den Weg für PicassoLoader geebnet, eine zwischengeschaltete Malware, die als Lader für zusätzliche Nutzlasten fungiert.


Die Auswirkungen der WinRAR-Schwachstelle auf die APT-Landschaft


Die
WinRAR-Schwachstelle, CVE-2023-38831, die durch die DarkCasino-Malware-Kampagneeingeführt wurde, hat in der zweiten Hälfte des Jahres 2023 zu Unsicherheiten in der APT-Angriffslandschaft geführt. Unter Ausnutzung der Zeitspanne, in der diese Sicherheitslücke besteht, haben mehrere APT-Gruppen im Bereich Cybersicherheit haben kritische Einrichtungen wie Regierungen ins Visier genommen, um deren Schutzsysteme zu umgehen und ihre Ziele zu erreichen.


Schlussfolgerung


Die Entwicklung von DarkCasino von einer Phishing-Kampagne zu einer hochentwickelten, anhaltenden Bedrohung ist ein Zeichen für die sich ständig verändernde
Bedrohungslandschaft im Bereich der Cybersicherheit. Die Ausnutzung der WinRAR-Sicherheitslücke hat nicht nur die technischen Fähigkeiten von DarkCasino unter Beweis gestellt, sondern auch eine Zusammenarbeit zwischen verschiedenen Bedrohungsakteuren ausgelöst. Da sich die Cybersicherheitsmaßnahmen ständig weiterentwickeln, sind Wachsamkeit und proaktive Verteidigungsstrategien sind zwingend erforderlich, um die Risiken zu minimieren, die von aufkommenden Cyber-Bedrohungen.

 

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und ISP.PAGE.

 

Zusammenfassung
DarkCasino WinRAR-Exploit: Eine neue APT-Bedrohung taucht auf
Artikel Name
DarkCasino WinRAR-Exploit: Eine neue APT-Bedrohung taucht auf
Beschreibung
Entdecken Sie die neueste Bedrohung: DarkCasino nutzt die WinRAR-Schwachstelle aus. Bleiben Sie informiert und schützen Sie sich jetzt vor dem DarkCasino WinRAR-Exploit.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter