Operation Sharpshooter: Eine neue Betrugskampagne trifft die globale Infrastruktur

Eine neue Malware-Kampagne, deren Vertriebshändler sie als rekrutierte Person bezeichnen, hat mehrere Organisationen betroffen, darunter Kernenergie, Verteidigung, Finanzen, Telekommunikation, Gesundheitswesen und andere Sektoren. Das McAfee Advanced Threat Research-Team und die McAfee Labs Malware Operation Group haben dies entdeckt und als “Operation Sharpshooter” bezeichnet.

Die Operation Sharpshooter-tiefe Analyse

Operation Sharpshooter ist eine globale E-Mail-Scam-Kampagne, die sich an verschiedene Branchen richtet, die sich als Job-Rekrutierungsaktivität ausgeben. Das McAfee-Sicherheitsteam war das erste Unternehmen, das diese globale E-Mail-Betrugskampagne für Nuklear-, Verteidigungs-, Energie- und andere Finanzunternehmen aufdeckte.

Die Scharfschützen der Operation senden diese E-Mails. Diese E-Mails enthalten ein Word-Dokument mit Waffenmakros. Die Empfänger zwingen zu glauben, dass die E-Mails aus echten Quellen stammen (legitime Absenderadresse). Sobald Sie jedoch zum Herunterladen auf das Word-Dokument geklickt haben, wird automatisch ein Shell-Code ausgeführt, der den Sharpshooter-Downloader in den Wortspeicher injiziert.

Der Sharpshooter-Downloader lädt zwei weitere Dateien herunter:

  • Rising Sun – eine Nutzlast, die vertrauliche Daten sammelt
  • OLE – ein Word-Dokument

Die in den Startordner heruntergeladene Payload, um die Persistenz des Systems sicherzustellen, während das in% LOCALLAPPDATA% heruntergeladene OLE-Dokument zum Abrufen schädlicher Inhalte verwendet wird.

Das Implantat erfasst persönliche Daten wie IP-Adresse, Logins, Benutzernamen sowie ein wichtiges System, das Informationen wie den Computernamen des Netzwerkadapters und den Produktnamen des Betriebssystems enthält. Nach dem Sammeln von Informationen werden die gespeicherten Daten mit dem RC4-Algorithmus verschlüsselt. Das Rising Sun-Implantat verfügt über die folgenden 14 Backdoor-Funktionen

  • Verbinden Sie sich mit einer IP-Adresse
  • Dateiattribute ändern
  • Variante der Änderungsdateiattribute
  • Prozess abbrechen
  • Datei lesen
  • Befehle ausführen
  • Informationen zum Laufwerk erhalten
  • Starten Sie den Prozess von Windows Binary aus
  • Informationen zu Prozessen abrufen
  • Zusätzliche Dateiinformationen für Dateien in einem Verzeichnis abrufen
  • Dateizeiten abrufen
  • Prozessspeicher löschen
  • Schreiben Sie die Datei auf die Festplatte
  • Datei löschen

 “Zwischen Oktober und November ist dieses Implantat in 87 Organisationen auf der ganzen Welt und hauptsächlich in den USA vertreten”, erklärte McAfee.

Die Lazarus Group scheint für diese Kampagne verantwortlich zu sein

Fortgeschrittene Bedrohungsforscher analysieren die Scharfschützenoperation und kommen zu dem Schluss, dass diese Kampagne zu viele Ähnlichkeiten mit anderen Kampagnen der Lazarus Group aufweist.

Das McAfee-Team gibt in seinem Beitrag an:

„Die zahlreichen technischen Verbindungen von Operation Sharpshooter zur Lazarus-Gruppe scheinen zu naheliegend, um sofort zu der Schlussfolgerung zu gelangen, dass sie für die Angriffe verantwortlich sind, und deuten auf ein Potenzial für falsche Flaggen hin.