Im Anschluss an unseren jüngsten Hinweis auf Bedrohungen im Zusammenhang mit WinRAR hat Obrela eine erhebliche Zunahme von Phishing-Kampagnen festgestellt, die auf griechische maritime Organisationen abzielen und komprimierte Archive nutzen, um den Remcos Remote Access Trojaner (RAT) zu installieren.
Überblick über die Bedrohung
Angreifer verbreiten Spear-Phishing-E-Mails, die sich als Logistik-, Beschaffungs- und Betriebskorrespondenz ausgeben und häufig an gemeinsam genutzte Posteingänge (z. B. info@, ops@) gesendet werden. Diese E-Mails enthalten in der Regel bösartige RAR- oder ZIP-Anhänge. Darin befindet sich ein JavaScript- oder VBS-Loader, der oft mit doppelten Dateierweiterungen getarnt ist (z.B. invoice.pdf.js) und über den Windows Scripting Host ausgeführt wird.
Sobald der Loader ausgelöst wird, ruft er die Remcos RAT-Nutzdaten von entfernten Servern ab und ermöglicht den Angreifern eine dauerhafte Fernsteuerung, Keylogging und den Diebstahl von Zugangsdaten. Einige Kampagnen verwenden auch bösartige LNK-Dateien, die PowerShell-Befehle ausführen, um die Nutzdaten abzurufen, was die Tarnung erhöht.
Beobachtete Taktiken, Techniken und Verfahren (TTPs)
- Erster Zugriff: [T1566.001] Spearphishing-Anhang
- Ausführung: [T1059.007] JavaScript; [T1059.001] PowerShell; [T1204] Benutzer-Ausführung
- Persistenz & C2: Remcos RAT
Technische Indikatoren (IOCs)
Domains / C2-Infrastruktur
- geoplugin[.]net
- hftook7lmaroutsg1.duckdns[.]org
- 5y9pfu[.]missileries-fenagle[.]yelocom[.]com
Bösartiger E-Mail-Absender
- sder@oldendarf[.]cam
Datei-Hashes
- 1b0eb55bb50d0286b192accbe408826c4c2e6c59a78d52743ce4f84ac0b1d6d0
- FF026E3D87B29D7399E991F7AD20751008746C16
- 612341AF1BC3D94A0366EF541F3AE7BF8CB1C979
- 8DD719CDF5B8E522E6DCC1EB5FE182CD29D71AAF
Datei Artefakte
- RAR/ZIP-Archive, die Folgendes enthalten:
- .js-Loader mit doppelter Erweiterung (z.B. invoice.pdf.js, manifest.xls.js)
- Bösartige LNK-Verknüpfungen, die PowerShell-Download-Ketten initiieren
Empfehlungen
- Verdächtige Archive blockieren: Quarantäne von RAR/ZIP-Anhängen aus ungeprüften Quellen.
- Dateierweiterungen inspizieren: Markieren Sie Dateien mit doppelten Erweiterungen (*.pdf.js, *.xls.js).
- Aktualisieren Sie Dekomprimierungstools: Halten Sie WinRAR und ähnliche Programme angesichts der jüngsten Exploit-Aktivitäten vollständig gepatcht.
- Härten Sie die E-Mail-Sicherheit: Wenden Sie eine erweiterte Filterung für Skripte und komprimierte Archive an.
- Sensibilisierung für Sicherheit: Schulen Sie das Personal im Seeverkehr, damit es Phishing-Versuche erkennt und Anomalien sofort meldet.
- IOC-Integration: Setzen Sie Regeln zur Erkennung von Netzwerken und Endpunkten ein, um den Datenverkehr zu den oben genannten Domänen zu identifizieren und verdächtige PowerShell-Ausführungen zu erkennen.
Referenz:
- https://www.obrela.com/advisory/winrar-0-day-remote-code-execution-rce-exploit-for-sale/
- https://www.forcepoint.com/blog/x-labs/remcos-malware-new-face
- https://bazaar.abuse.ch/browse/tag/hftook7lmaroutsg1-duckdns-org/
Das Threat Intelligence Team von Obrela beobachtet diese Entwicklungen weiterhin und wird weitere Hinweise geben, sobald neue Indikatoren auftauchen.
