Cyberkriminelle haben begonnen, Amazon-Dienste auszunutzen, um mit Schadsoftware infizierte MSC-Dateien zu verbreiten. Diese Entwicklung zeigt, wie attraktiv die umfassenden Angebote von Amazon für Angreifer geworden sind, da sie enorme Rechenleistung, Speicherplatz und eine weltweite Reichweite bieten.

Technische Analyse

Die entdeckte Malware nutzt MSC-Dateien (Management Console), die über XML-Dateistrukturen in der Microsoft Management Console (MMC) ausgeführt werden. Jüngste Varianten dieser Schadsoftware, die von Elastic Security Labs am 22. Juni offengelegt wurden, betten ihre Payloads in den „<StringTables>“-Abschnitt der MSC-Dateien ein.

Diese Malware zielt insbesondere auf eine Schwachstelle in der Datei apds.dll und nimmt Anwender der Sicherheitssoftware AhnLab TIP ins Visier. In einem analysierten Beispiel, das als „Versuche zur Stärkung der japanischen Verteidigungsfähigkeiten und Wiederbelebung der Verteidigungsindustrie (zur Überprüfung).msc“ bezeichnet wurde, werden schädliche Dateien von einem AWS S3-Server heruntergeladen und im Ordner „C:\Users\Public“ abgelegt.

Ein legitimes PDF-Dokument wird ausgeführt, um die Aktivitäten zu verschleiern, während die Datei „Edge.exe“ das schädliche „msedge.dll“ lädt, das dann „Logs.txt“ entschlüsselt, um Shellcode zu erzeugen. Dieser Shellcode wird in einen neu gestarteten Prozess (dllhost.exe) injiziert, der dann versucht, sich mit einem Server (152.42.226.161:88/ins.tg) zu verbinden, um weitere Schadsoftware herunterzuladen.

Der letzte Schritt der Infektionskette versucht, mit einem weiteren Server (static.sk-inc.online:8443/etc.clientlibs/microsoft/clientlibs/clientlib-mwf-new/resources/fonts) zu kommunizieren, um weitere Dateien herunterzuladen. Während der Analyse war dieser Server jedoch inaktiv.

Weiterentwickelte Angriffsmethoden

Dieser Angriff zeigt die sich weiterentwickelnden Taktiken von Malware-Kampagnen, die auf MSC-Dateien basieren. Die Dateien werden von AWS S3 heruntergeladen und im Verzeichnis „C:\Users\Public“ abgelegt. Im nächsten Schritt wird die Datei „oncesvc.exe“, die tatsächlich eine .NET-Komponente namens „dfsvc.exe“ ist, gestartet. Diese Datei lädt eine weitere ausführbare Datei, die sich als DLL tarnt und einen AES-Entschlüsselungsalgorithmus verwendet, um eine URL (hxxps://speedshare.oss-cn-hongkong.aliyuncs.com/2472dca8c48ab987e632e66caabf86502bf3.xml) zu extrahieren. Der Shellcode wird von dieser URL heruntergeladen und in einem weiteren Thread ausgeführt.

Dieser Bedrohungsvektor versucht, mit der Amazon Cloud zu kommunizieren. Wenn dies gelingt, wird die empfangene Daten entschlüsselt und in einem neuen Thread ausgeführt. Interessanterweise wurde keine Spur der Datei „readme.docx“ gefunden, die möglicherweise als Köderdokument diente.

Schlussfolgerung und Warnung

Diese Malware verbreitet sich wahrscheinlich über Phishing-E-Mails, was die Notwendigkeit unterstreicht, Vorsicht beim Umgang mit verdächtigen E-Mails walten zu lassen.

Indikatoren für Kompromittierung

  • Hash 1: 0c93507db212c506fa82ffaadff7e034
  • Hash 2: 22a4b86bf351bf855b9205bd3255ad5e
  • Hash 3: 249c2d77aa53c36b619bdfbf02a817e5
  • Hash 4: 4b643cf1bb43941073fe88ad410da96e
  • Hash 5: 4ee936e21e154ae7e64e95b4537b0c7c

Unternehmen und Einzelpersonen sollten sich dieser neuen Bedrohung bewusst sein und ihre Sicherheitsmaßnahmen entsprechend anpassen, um potenzielle Angriffe zu verhindern.