Bluebottle setzt Überfall uff Bankraub mit signierter Schadsoftware fort

Eine kriminelle Menschenschar, die schon so gut wie 11 Mio. US-Dollar gestohlen hat, während sie sich uff gezielte Angriffe uff den Finanzsektor spezialisiert hat, hat französischsprachige afrikanische Banken im Fadenkreuz einer kürzlich durchgeführten Kampagne, die eine Weiterentwicklung welcher Taktik demonstriert, nach sich ziehen Forscher herausgefunden.

Bluebottle, zweitrangig prestigevoll wie OPERA1ER, hat zwischen Zentrum Juli und September drei verschiedene Finanzinstitute in drei verschiedenen afrikanischen Ländern kompromittiert, welches mehrere Maschinen in allen drei Organisationen betraf, enthüllten Forscher von Symantec in einem am 5. Januar veröffentlichten Blogbeitrag.

Obwohl unklar ist, ob die Menschenschar pekuniär von welcher Geschäftigkeit profitieren konnte, ist dies von Wert, da die unterschiedlichen Nutzlasten und anderen Taktiken, die Bluebottle in welcher Kampagne verwendet hat, sich von früheren Offensiven welcher Menschenschar unterscheiden, sagt Sylvester Segura, Symantec Threat Intelligence Analytiker, im Vergleich zu Dark Reading.

Insbesondere verwendete Bluebottle in welcher Anfangsstadium des Angriffs die Commodity-Schadsoftware GuLoader und bösartige ISO-Dateien – welches es zuvor noch nicht getan hat – sowie missbrauchte Kernel-Viehtreiber mit einem signierten Viehtreiber, welcher mit anderen Angriffen wie Ransomware, Segura, in Vernetzung gebracht wurde sagt.

Ebendiese „zeigen nicht mehr da, dass die Bluebottle-Menschenschar mit den Tools und Techniken, die andere Bedrohungsakteure derzeit verwenden, uff dem Laufenden bleibt“, sagt er. „Sie sind vielleicht nicht die fortschrittlichsten, zwar sie neueste Geschäftigkeit beweist, dass sie den Trends welcher Angreifer in Bezug uff Tools und Techniken verfolgen.“

In welcher Tat zeigt insbesondere die Verwendung von signierten Fahrern, dass Bluebottle – eine pekuniär motivierte Menschenschar, die erstmals 2019 beobachtet wurde – darauf abzielt, in dieser jüngsten Aktivitätswelle besser zu werden, und die Unternehmen dazu zwingt, wie in Bezug uff Verteidigungsmanöver zu tun, sagt Segura.

„Immer mehr „weniger fortgeschrittene“ Angreifer sind sich welcher Auswirkungen klar, die sie nach sich ziehen können, wenn sie Erkennungslösungen uff verschiedene Weise deaktivieren, wie durch die Verwendung signierter Viehtreiber“, stellt er straff. „Um zu verhindern, dass dies Vertrauen, dies wir in Software wie signierte Viehtreiber setzen, zu einem Single Point of Failure wird, sollen Unternehmen so viele Erkennungs- und Schutzebenen wie möglich einsetzen.“

Mit Bluebottle Schrittgeschwindigkeit halten

Group-IB begann zunächst mit welcher Verfolgung von Bluebottle, die sie OPERA1ER nennt, in Aktivitäten, die sich von Zentrum 2019 solange bis 2021 erstreckten. In diesem Zeitraum stahl die Menschenschar im Zuge von 30 gezielten Angriffen mindestens 11 Mio. US-Dollar, sagten Forscher in einem veröffentlichten Bulletin November. Die Menschenschar infiltriert normalerweise eine Finanzorganisation und bewegt sich seitwärts, um Anmeldeinformationen zu vereinen, die sie pro betrügerische Überweisungen und andere Gelddiebstahlaktivitäten verwenden kann.

Die Geschäftigkeit, die Symantec beobachtete, begann Zentrum Juli, wie Forscher uff einem welcher infizierten Systeme berufsbezogene Schadsoftware entdeckten, von welcher sie vertrauen, dass sie dies Ergebnis einer Spear-Phishing-Kampagne gewesen sein könnte – obwohl sie sagten, sie seien sich welcher Menschenschar nicht sicher erster Einstiegspunkt.

“Ebendiese fungierten wahrscheinlich wie Köder”, schrieben die Forscher in welcher Postamt. „In einigen Fällen wurde die Schadsoftware so so genannt, dass welcher Benutzer glaubt, es handele sich um eine Portable Document Format-File.“

Symantec-Forscher brachten die Menschenschar mit welcher früheren OPERA1ER-Geschäftigkeit in Vernetzung, die von Group-1B gemeldet wurde, weil sie dieselbe Schulfach teilte, ähnliche Tools verwendete, keine benutzerdefinierte Schadsoftware enthielt und zweitrangig uff frankophone Nationen in der Schwarze Kontinent abzielte, sagten sie.

Vom Nationalstaat leben

Nachdem die Forscher die berufsbezogene Schadsoftware bemerkt hatten, beobachteten sie den Hinterlegung eines Downloaders, ehe sie dies kommerzielle Sharphound-Hacktool sowie ein Tool namens Fakelogonscreen entdeckten, sagten die Forscher. Dann, etwa drei Wochen nachher dieser ersten Kompromittierung, sahen die Forscher, wie Angreifer eine Kommandozeile und PsExec pro seitliche Bewegungen verwendeten.

„Es sieht so aus, dass die Angreifer zu diesem Zeitpunkt des Angriffs ‚Hände uff welcher Tastatur‘ waren“, schrieben die Forscher in welcher Postamt und verwendeten während ihrer Inbesitznahme verschiedene Dual-Use- und Living-off-the-Nationalstaat (LotL)-Tools pro eine Warteschlange von Zwecken des Netzwerks.

Zu diesen Tools gehörten Quser zur Benutzererkennung, Ping zum Nachschauen welcher Internetverbindung, Ngrok zum Netzwerktunneln, Net localgroup/add zum Hinzufügen von Benutzern, welcher Fortinet-VPN-Client sehr wahrscheinlich pro zusammenführen sekundären Zugriffskanal, Xcopy zum Kopieren von RDP-Wrapper-Dateien und Netsh zum Öffnen Port 3389 in welcher Firewall, unter anderem.

Wie schon erwähnt, nutzte Bluebottle neben „mehreren anderen unbekannten Dateien“ zweitrangig die Commodity-Tools GuLoader sowie Mimikatz, Revealer Keylogger, Backdoor.Cobalt, Netwire RAT und die bösartige DLL und den Viehtreiber zum Verfertigen von Prozessen während ihrer Geschäftigkeit, zusammen mit „mehreren anderen unbekannten Dateien“, schrieben die Forscher .

Manche welcher Tools – wie GuLoader – wurden für allen drei Opfern eingesetzt; Weitere Aktivitäten, die die drei Todesopfer miteinander in Vernetzung brachten, waren die Verwendung desselben .NET-Downloaders, bösartigen Treibers und mindestens einer sich überschneidenden Übertragung[.]sh-URL, sagten sie.

Forscher beobachteten die letzte Geschäftigkeit im kompromittierten Netzwerk im September; Dies Ngrok-Tunneling-Tool blieb jedoch solange bis November im Netzwerk, sagten sie.

Wie Unternehmen reagieren können

Da Bluebottle für seinen Aktivitäten hauptsächlich Standard-RATs und andere Schadsoftware verwendet, können Unternehmen Angriffe dieser Bedrohungsgruppe erleichtern, während sie sicherstellen, dass sie mehr als zusammenführen guten Endpunktschutz gegen solche Bedrohungen verfügen, sagt Segura.

“Darüber hinaus sollte eine erweiterte Erkennungs- und Reaktionslösung zweitrangig dazu hinzufügen, den Vergewaltigung von Tools wie PsExec während welcher versuchten seitlichen politische Bewegung zu wiedererkennen”, sagt er.

Da Bluebottle für seinen Angriffen aus finanziellen Gründen normalerweise sofort nachher Anmeldeinformationen sucht, kann die Multifaktor-Authentifizierung zweitrangig zusammenführen großen Gebühr dazu leisten, Unternehmen nun zu helfen, Konten zu schützen und verdächtige Kontoaktivitäten zu beaufsichtigen, sagt Segura.

Andere Schritte, die Unternehmen unternehmen können, um den Aktivitäten von Bluebottle entgegenzuwirken, zusammenfassen insbesondere dies Zulassen von Anwendungen, die „dazu hinzufügen, die böswillige Verwendung von Dual-Use-Tools wie Ngrok zu verhindern, die sie verwenden, um ihre Präsenz zu verbergen“, sagt er.

„Schließlich wird es entscheidend sein, die Mitwirkender darin zu schulen, uff Phishing und andere bösartige E-Mails zu respektieren, um zu verhindern, dass eine Menschenschar wie sie gar eindringt“, fügt Segura hinzu.