Die berüchtigte Ransomware-Gruppe OldGremlin hat ihre Aktivitäten wieder aufgenommen und zielt erneut auf russische Unternehmen ab. Cybersicherheitsexperten von FACCT haben einen neuen Angriff entdeckt, bei dem die Hacker einen raffinierten Phishing-Ansatz und ein neues Malware-Tool namens OldGremlin.JsDownloader einsetzen. Diese Entwicklung unterstreicht die anhaltende Bedrohung durch hochentwickelte Cyberkriminelle und die Notwendigkeit verstärkter Sicherheitsmaßnahmen.
Ausgeklügelte Phishing-Kampagne täuscht Unternehmen
Die Angreifer haben eine sorgfältig gestaltete Phishing-E-Mail erstellt, die vorgibt, von einem Mitarbeiter des russischen Unternehmens „Diadok“ zu stammen. Die E-Mail wurde an einen Mitarbeiter eines nicht genannten russischen petrochemischen Unternehmens gesendet und enthielt einen Link zum Herunterladen einer angeblichen Rechnung. Besonders bemerkenswert ist die Verwendung einer Domäne (diadok[.]net), die der legitimen Domäne des echten Unternehmens „Kontur.Diadok“ (diadoc[.]ru) täuschend ähnlich ist. Diese Taktik, bekannt als Typosquatting, erhöht die Wahrscheinlichkeit, dass Opfer auf den Köder hereinfallen.
Komplexer Infektionsprozess enthüllt neue Malware
Der Infektionsprozess umfasst mehrere Stufen und nutzt verschiedene Techniken, um Sicherheitsmaßnahmen zu umgehen:
1. Erste Infektion über LNK-Datei
Nach dem Klick auf den Link in der Phishing-E-Mail wird eine ZIP-Datei heruntergeladen, die eine LNK-Datei enthält. Bei Ausführung verbindet sich diese mit einem WebDAV-Server – eine Methode, die OldGremlin bereits in früheren Angriffen eingesetzt hat.
2. Einsatz von Node.js
Der Angriff nutzt einen Node.js-Interpreter (Version v0.10.48), der von der offiziellen Node.js-Website heruntergeladen werden kann. Dies ist ein weiteres charakteristisches Merkmal von OldGremlin-Angriffen.
3. Einführung von OldGremlin.JsDownloader
Der Hauptbestandteil dieses Angriffs ist ein neues JavaScript-basiertes Tool namens OldGremlin.JsDownloader. Dieses Tool ist in der Lage, weitere JavaScript-Skripte herunterzuladen und auszuführen, was den Angreifern große Flexibilität bei ihren Aktionen verleiht.
Fortgeschrittene Verschlüsselung und Kommunikation
OldGremlin.JsDownloader verwendet ausgeklügelte Techniken zur sicheren Kommunikation mit seinem Command-and-Control (C2) Server:
- Generierung eines zufälligen 32-Byte-Datensatzes zur Initiierung der Kommunikation
- Überprüfung der Serverantwort mittels digitaler Signatur und öffentlichem Schlüssel
- Verwendung des RC4-Verschlüsselungsalgorithmus mit einem MD5-Hash als Schlüssel für die Datenverschlüsselung
Diese Sicherheitsmaßnahmen erschweren die Erkennung und Analyse der Malware-Aktivitäten erheblich.
Die Wiederaufnahme der Aktivitäten von OldGremlin stellt eine ernsthafte Bedrohung für russische Unternehmen dar. In früheren Kampagnen forderte die Gruppe Lösegelder in Millionenhöhe, wobei die Forderungen im Jahr 2022 sogar bis zu 1 Milliarde Rubel erreichten. Unternehmen müssen ihre Cybersicherheitsmaßnahmen dringend verstärken, insbesondere im Bereich der Mitarbeiterschulung zur Erkennung von Phishing-Angriffen. Kontinuierliche Wachsamkeit und regelmäßige Updates der Sicherheitssysteme sind entscheidend, um sich vor solch raffinierten Bedrohungen zu schützen.