Holen Sie sich den neuen Batshadow-Bedrohungsbericht oder hören Sie sich den interaktiven Bericht an
Aryaka Threat Research Labs hat eine neue Kampagne des vietnamesischen Bedrohungsakteurs BatShadow identifiziert, der weiterhin auf Social Engineering setzt, um Arbeitssuchende und Fachleute für digitales Marketing zu kompromittieren. Die Angreifer geben sich als Personalvermittler aus und verbreiten bösartige Dateien, die als Stellenbeschreibungen und Unternehmensdokumente getarnt sind. Wenn sie geöffnet werden, lösen diese Köder die Infektionskette einer Go-basierten Malware aus, die wir als Vampire Bot bezeichnen.
Diese Kampagne zeigt, wie Bedrohungsakteure das Vertrauen in professionelle Arbeitsabläufe ausnutzen, um Persistenz zu erreichen, Systeme zu überwachen und sensible Informationen zu exfiltrieren, während sie ihre Aktivitäten mit normal aussehendem Datenverkehr vermischen.
Die Infektion beginnt in der Regel mit ZIP-Archiven, die Köder-PDFs zusammen mit bösartigen Verknüpfungs- oder ausführbaren Dateien enthalten, die mit irreführenden Erweiterungen maskiert sind. In diesem Fall führen die bösartigen Dateien versteckte PowerShell-Befehle aus, die dem Opfer ein Köder-PDF anzeigen, während die Malware im Hintergrund unbemerkt heruntergeladen und installiert wird. Die Angreifer setzen auch Browser-basierte Tricks ein, indem sie die Opfer anweisen, zu bestimmten Browsern zu wechseln, um die eingebauten Schutzmechanismen zu umgehen und die erfolgreiche Übermittlung der Nutzdaten sicherzustellen.
Sobald er ausgeführt wird, erstellt Vampire Bot ein detailliertes Host-Profil und sammelt Benutzernamen, Hardware-Kennungen, Details zum Betriebssystem, Berechtigungsstufen und Informationen über installierte Sicherheitsprodukte. Diese Daten werden verschlüsselt, bevor sie an die Infrastruktur des Angreifers übermittelt werden. Um die Persistenz aufrechtzuerhalten, versteckt sich die Malware in Systemordnern, wendet Attribute an, um verborgen zu bleiben, und erstellt einen Mutex, um die Ausführung mehrerer Instanzen zu verhindern.
Ein zentrales Merkmal von Vampire Bot ist seine kontinuierliche Desktop-Überwachung. Die Malware macht in konfigurierbaren Intervallen Screenshots, komprimiert sie im WEBP-Format und schleust sie über verschlüsselte Kanäle aus. Außerdem unterhält er eine permanente C2-Abfrageschleife, um Anweisungen zu erhalten, die die Ausführung von Befehlen oder das Herunterladen zusätzlicher Nutzdaten umfassen können. Die Ergebnisse der Aufgaben werden an die Betreiber zurückgesendet, so dass diese die vollständige Fernkontrolle über das kompromittierte System erhalten.
Diese Entwicklung der BatShadow-Taktik spiegelt einen Wechsel von der früheren Abhängigkeit der Gruppe von handelsüblicher Malware hin zu individuelleren Tools wider, die für eine stärkere Persistenz und Tarnung entwickelt wurden. Durch die Einbettung von bösartigem Code in vertraute Arbeitsabläufe von Anwendungen erhöhen die Akteure die Wahrscheinlichkeit einer erfolgreichen Kompromittierung und verringern gleichzeitig die Chancen einer Entdeckung. Dieser Wandel unterstreicht die dringende Notwendigkeit einer ständigen Wachsamkeit im Bereich der Cybersicherheit.
Und schließlich arbeiten die Bedrohungsforschungslabors von Aryaka eng mit Partnern aus der Community zusammen, um sicherzustellen, dass die Erkennungsfunktionen durch Bedrohungsdaten verbessert werden. Wir haben die Forschung mit dem Emerging Threats-Forschungsteam von Proofpoint verantwortlich offengelegt, um die Regelsätze zu aktualisieren. Diese gemeinsame Anstrengung, einschließlich der Erwähnung von Emerging Threats, unterstreicht die Stärke der Cybersicherheits-Community bei der Bewältigung der sich entwickelnden Herausforderungen im Cyberspace.
Lesen Sie den Bericht hier oder erkunden Sie den interaktiven Bericht