FOTOGRIN – shutterstock.com
Softwareentwickler sind wertvolle Ziele für staatlich unterstützte Angreifer, da ihre Computer oft sensible Informationen und Zugangsdaten enthalten. Solche Daten können für Spionage und Angriffe auf die Software-Lieferkette verwendet werden.
Über eine Form solcher Angriffskampagnen mit dem Namen DEV#POPPER hatte die IT-Sicherheitsfirma Securonix bereits im April berichtet. Die Forscher ordneten den Angriff schon damals einem nordkoreanischen Bedrohungsakteur zu. Doch obwohl sowohl die Malware als auch die verwendeten Techniken aufgedeckt wurden, setzten die Angreifer ihre Kampagne offenbar fort.
Malware im Testprojekt versteckt
Die Cyberkriminellen kontaktierten Entwickler, um sie zu einem Bewerbungsgespräch einzuladen. Im Rahmen der Fake-Interviews sollen die Opfer dabei scheinbar legitime Code-Projekte von GitHub herunterladen, die jedoch bösartigen JavaScript-Code enthalten. Diese Projekte enthielten Dutzende legitimer Dateien, aber auch eine stark verschleierte JavaScript-Funktion, welche eine Infektionskette auslöste.
Ein aktuelles Beispiel ist das Node.js-Projekt onlinestoreforhirog.zip, dessen versteckter Code sich vor Anti-Malware-Engines verbirgt und Systeminformationen an einen Command-and-Control-Server sendet. Da es sich um ein Node.js-Projekt handelt, werden Entwickler aufgefordert, die Datei zu entpacken und anschließend “npm install” und “npm start” auszuführen, um das Projekt bereitzustellen.
Gut getarnt unter anderen Projekten
Der Schadcode verwendet mehrere Verschleierungstechniken, darunter Base64-Kodierung, dynamische Funktions- und Variablennamen, Verkettung und Aufteilung von Zeichenketten sowie Prototyp-Verschleierung. Nur 3 von 64 Antimalware-Engines auf VirusTotal erkannten diese Datei zum Zeitpunkt der Entdeckung als verdächtig.
Nach der Ausführung erkennt das schädliche Skript das Betriebssystem (Windows, Linux oder macOS) und setzt seine Ausführung je nach Plattform fort. Das Skript sammelt Informationen über das System sowie Dateien und Protokolle und lädt diese zusammen mit generierten Kennungen zur eindeutigen Identifizierung des Computers auf den Command-and-Control-Server (C&C-Server) hoch.
Ein ausgeklügeltes Vorgehen
Das Skript führt dann eine Funktion aus, die eine Datei namens pdown vom C&C-Server herunterlädt, bei der es sich in Wirklichkeit um ein lokal als p2.zip gespeichertes Archiv handelt. Dieses Archiv enthält die nächste Stufe des Angriffs, nämlich ein Python-Skript namens .npl, das ein weiteres Python-Skript namens pay entschlüsselt.
Das Skript führt dann eine Funktion aus, die eine Datei namens pdown vom C&C-Server herunterlädt. Hierbei handelt es sich in Wirklichkeit um ein lokal als p2.zip gespeichertes Archiv. Dieses Archiv enthält die nächste Stufe des Angriffs, nämlich ein Python-Skript namens .npl, welches ein weiteres Python-Skript namens pay entschlüsselt.
RAT aktualisiert mit neuen Funktionen
Das pay-Skript fungiert als Remote Access Tool (RAT), das detaillierte System- und Netzwerkinformationen sowie den geografischen Standort auf Basis der IP-Adresse sammelt.
Das Skript ermöglicht es einem Angreifer, Informationen aus dem System zu sammeln und sie per FTP auf einen entfernten Server hochzuladen. Es protokolliert auch Tastatureingaben und Informationen, die in die Zwischenablage kopiert werden. Zusätzlich ermöglicht es die Ausführung von Befehlen und zusätzlichen Nutzdaten.
Im Vergleich zu der im April beobachteten Variante kann die neue RAT-Version auch die Software Anydesk Remote Monitoring and Management (RMM) ausnutzen. Dies ermöglicht dem Angreifer den Fernzugriff auf den Desktop des Opfers.
Ein weiteres entdecktes Python-Skript namens browser_cookie3 extrahiert Passwörter und Session-Cookies aus Browsern.
Auch Linux und macOS nicht sicher
Die Forscher berichten zudem, dass die erweiterte DEV#POPPER-Kampagne weiterhin Python-Skripte für einen mehrstufigen Angriff verwendet. Alle genannten Skripte inklusive der von Python sind in der Lage, sich an verschiedene Betriebssysteme anzupassen. Die Angreifer haben somit ihr Toolset um ein Skript erweitert, welches neben Windows auch Linux und macOS unterstützt. Attacken dieser Art zielen auf die Exfiltration sensibler Informationen ab und verfügen nun über robustere Fähigkeiten.
Entwickler bleiben als Ziel beliebt
Diese und andere Angriffe betreffen vor allem Opfer in Südkorea, Nordamerika, Europa und dem Nahen Osten, was auf eine globale Bedrohung hindeutet. Es ist daher wichtig, die Computer von Entwicklern streng zu kontrollieren und zu überwachen. (tf)
No Responses