Malware Brief: Ein Malware-Quartett arbeitet zusammen

In der heutigen Kurzdarstellung Malware Brief werfen wir einen kurzen Blick auf vier verschiedene Beispiele für Malware, die alle ungefähr zur gleichen Zeit aufgetaucht sind. Sie veranschaulichen die komplexe Kette von Bedrohungen, die gemeinsam eingesetzt werden, manchmal von verschiedenen Gruppen für unterschiedliche Zwecke.

In diesem Fall wurden alle vier – RomCom RAT, TransferLoader, MeltingClaw und DustyHammock – Anfang der 2020er Jahre nach der russischen Invasion in der Ukraine identifiziert. Sie wurden und werden von russischsprachigen Gruppen in großem Umfang gegen ukrainische, polnische und einige russische Ziele eingesetzt.

RomCom RAT

Typ: Remote Access Trojan (RAT)

Verbreitung: Phishing-Kampagnen, kompromittierte URLs, gefälschte Software-Downloads

Variante: SingleCamper

Erstmals identifiziert: 2022

Häufige Ziele: Vorwiegend gegen Ziele in der Ukraine eingesetzt

Bekannte Operatoren: TA829, UAT-5647

RomCom RAT wird von Bedrohungsakteuren verwendet, um eine Hintertür für die Fernsteuerung von Endpunktcomputern zu erstellen. Die mit Russland verbundene TA829-Gruppe nutzt diese und andere Instrumente zur Informationsbeschaffung sowie zum Finanzbetrug. Diese Gruppe nutzt in der Regel Schwachstellen in Mozilla Firefox und Microsoft Windows aus, um RomCom RAT zu verbreiten.

Sobald ein System mit RomCom RAT kompromittiert ist, fügt der Bedrohungsakteur in der Regel einen versteckten Loader wie TransferLoader oder SlipScreen ein. Diese werden dann verwendet, um Ransomware in das Zielsystem zu laden.

Es wurde ursprünglich hauptsächlich von russischsprachigen Gruppen gegen ukrainische und polnische Ziele eingesetzt, bevor es für Finanzdelikte angepasst wurde.

TransferLoader

Typ: Malware-Loader

Verbreitung: Phishing-Kampagnen mit Bezug zu Stellenbewerbungen, RAT-Angriff

Zuerst identifiziert: Februar 2025

Bekannter Betreiber: UNK_GreenSec, RomCom

TransderLoader kombiniert einen Downloader, eine Backdoor und einen Backdoor-Loader, um es Bedrohungsakteuren zu ermöglichen, Änderungen an kompromittierten Systemen vorzunehmen und Ransomware oder andere Malware einzufügen.

Es wurde erstmals entdeckt, als es zum Laden der Morpheus-Ransomware in das System einer amerikanischen Anwaltskanzlei verwendet wurde. Seitdem wurde es zum Einschleusen von Malware wie MeltingClaw und DustyHammer verwendet.

TransferLoader wurde für Tarnung entwickelt und verwendet eine Vielzahl von Techniken, um eine Entdeckung zu vermeiden. Beim Ausführen heruntergeladenen bösartigen Codes maskiert es seine Aktivität durch das Öffnen von Schein-PDF-Dateien.

MeltingClaw

Typ: Downloader

Variante: RustyClaw

Erstmals identifiziert: 2024

Bekannte Betreiber/Ersteller: RomCom – auch bekannt als Storm-0978, UAC-0180, Void Rabisu, UNC2596 und Tropical Scorpius

Fortgeschrittene Spear-Phishing-Kampagnen wurden verwendet, um die Downloader MeltingClaw und seinen Cousin RustyClaw zu verbreiten. Diese laden dann die Backdoors DustyHammock oder ShadyHammock herunter und installieren sie.

Diese heimlichen Hintertüren ermöglichen langfristigen Zugriff auf Zielsysteme, das Auffinden und Entwenden von Daten oder die Ausführung anderer bösartiger Aufgaben. Es wurde während der russischen Invasion für Spionage und Sabotage gegen Systeme in der Ukraine eingesetzt.

DustyHammock

Typ: Backdoor

Variante: ShadyHammock

Erstmals identifiziert: 2024

DustyHammock ist darauf ausgelegt, mit einem Command-and-Control-Server zu kommunizieren, erste Erkundungen auf Zielsystemen durchzuführen und Bedrohungsakteuren das Ausführen beliebiger Befehle sowie das Herunterladen und Platzieren bösartiger Dateien zu ermöglichen.

DustyHammock wurde entwickelt, um langfristigen Zugriff zu ermöglichen und gleichzeitig der Entdeckung zu entgehen. Es wurde für Datenexfiltration und Spionage sowie für Sabotage verwendet.