Cyberangreifer setzen verstärkt schädliche Excel-Dateien mit VBA-Makros ein, um DLLs zu verbreiten und letztendlich Cobalt Strike auf kompromittierten Windows-Maschinen zu installieren. Diese Angriffe nutzen Verschleierungstaktiken und zielen auf spezifische Prozesse ab, um eine Entdeckung durch Antivirus-Software zu vermeiden. Besonders ukrainische Systeme stehen im Fokus dieser Angriffe, die geopolitische Themen als Köder verwenden und damit eine Zunahme komplexer und häufiger Angriffe während Zeiten der Spannung verdeutlichen.
Angriffsmechanismus über Excel-Makros
Ein bösartiges Excel-Dokument lockt ukrainische Nutzer mit der Aufforderung, Makros zu aktivieren, um angeblich eine Tabelle für militärische Budgetberechnungen freizuschalten. Einmal aktiviert, setzt ein VBA-Makro einen HEX-kodierten DLL-Downloader ein. Dieser Makro dekodiert den Downloader, speichert ihn in einem versteckten Ordner und erstellt eine Verknüpfung, die regsvr32
verwendet, um die heruntergeladene DLL auszuführen und damit eine Erkennung durch Zeichenketten zu umgehen.
Fortgeschrittene Taktiken zur Vermeidung von Sicherheitssoftware
Die Malware, verschleiert durch ConfuserEx, überprüft zunächst laufende Prozesse auf Analyse-Tools oder Antivirus-Software und beendet sich selbst, wenn solche gefunden werden. Anschließend lädt sie aus einer geografisch eingeschränkten URL die nächste Angriffsstufe herunter. Ist das Gerät in der Ukraine, wird das Payload (eine SVG-Datei) heruntergeladen, mit einem fest kodierten Schlüssel per XOR dekodiert und im TEMP-Ordner gespeichert. Danach wird das dekodierte Payload (eine .NET-DLL) mittels rundll32.exe
ausgeführt und anschließend gelöscht, um Entdeckung zu vermeiden.
Einbettung und Ausführung von Cobalt Strike
Die DLL entschlüsselt ein weiteres Payload mit RC4 und speichert es an einem bestimmten Ort. Zudem wird ein Registry-Schlüssel hinzugefügt, um Persistenz zu gewährleisten, und die neu geschriebene Datei gestartet. ResetEngine.dll
, eine zentrale Komponente für die schädliche Aktivität, verwendet NtDelayExecution
zur Umgehung der Sandbox-Erkennung, sucht nach Prozessen, versucht übergeordnete Prozesse zu beenden, um Debugging zu verhindern, und entschlüsselt dann das finale Payload mit einem AES-Algorithmus. Schließlich injiziert ResetEngine.dll
das entschlüsselte Payload in sich selbst und nutzt verschiedene Windows-APIs zur Ausführung der Cobalt Strike-Malware.
Forschung und Entdeckung
Malware-Forscher bei Fortinet haben diese mehrstufige Angriffskampagne entdeckt, die sich gegen die Ukraine richtet. Die Angreifer nutzen standortbezogene Überprüfungen, um Entdeckungen zu vermeiden, und setzen einen DLL-Injektor ein, der die Ausführung verzögert und übergeordnete Prozesse beendet, um Sandbox- und Anti-Debugging-Maßnahmen zu umgehen. Dies führt zur Bereitstellung von Cobalt Strike-Beacons für weitere Kompromittierungen.