Operatør af DarkGate udnytter Skype- og Teams-beskeder til at distribuere malware.
En hackergruppe bruger kompromitterede Skype- og Microsoft Teams-konti til at sprede DarkGate, en problematisk indlæsningsprogram, der er forbundet med flere skadelige aktiviteter, herunder informationsstjæle, keylogging, kryptokurrency-minere og ransomware som Black Basta.
Trend Micro's forskere har også observeret udvikleren af DarkGate begynde at annoncere malwaren på undergrunds fora og udleje den som en malware som tjeneste til tilknyttede diverse IT-kriminele grupper. Denne ændring har ført til en nylig stigning i DarkGate-aktivitet efter en relativ rolig periode.
Operatøren bag DarkGate-kampagnen, som Trend Micro i øjeblikket sporer, bruger både Skype og Teams til at distribuere malwaren. I en af angrebene tog trusselsskuespilleren kontrol over en Skype-konto tilhørende en person i en organisation, som målmodtagerens organisation havde et betroet forhold til.
Angriberen brugte grundlæggende den kompromitterede Skype-konto til at kapre en eksisterende beskedetråd og sende en besked, der tilsyneladende indeholdt en PDF-fil, men i virkeligheden var en ondsindet VBS-script. Når modtageren udførte filen, initierede det en sekvens af trin til at downloade og installere DarkGate på målcomputeren.
I et andet angreb forsøgte trusselsskuespilleren at opnå det samme resultat ved hjælp af en Teams-konto til at sende en besked med en ondsindet .LNK-fil til en målmodtager. I modsætning til Skype-angrebet modtog modtageren i Teams-variationen den ondsindede besked fra en ukendt, ekstern enhed.
Hvad er DarkGate malware helt præcist
DarkGate er en malware, der har målrettet brugere i forskellige regioner rundt om i verden siden mindst 2017. Den integrerer flere relativt kraftfulde funktioner; for eksempel kan malwaren udføre kommandoer til at indsamle systemoplysninger, kortlægge netværk og udføre mapning af mapper. Den implementerer også fjernskrivebordsprotokollen (RDP), skjult virtuel netværkscomputing, AnyDesk og anden fjernadgangssoftware. Andre "funktioner" inkluderer dem, der er relateret til kryptokurrencymyring, keylogging, privilegie-eskalering og tyveri af oplysninger fra browsere.
Trend Micro's analyse viser, at når DarkGate er installeret på et system, downloader den yderligere nyttelast. Nogle gange er disse varianter af enten DarkGate selv eller Remcos, en fjernadgangstrojansk hest (RAT), som angribere tidligere har brugt til cyber-espionage-overvågning og til at stjæle skatterelaterede oplysninger.
Trend Micro siger, at de formåede at inddæmme de DarkGate-angreb, de observerede, inden der skete faktisk skade. Men med udviklerens åbenlyse skift til en ny malware-lejemodel kan sikkerhedsteams forvente flere angreb fra varierede trusselsskuespillere. Målene for disse angribere kan variere, hvilket betyder, at organisationer skal være opmærksomme på trusselsskuespillere, der bruger DarkGate til at inficere systemer med forskellige former for malware.
Selvom angrebene, som Trend Micro observerede, målrettede enkeltpersoners Skype- og Teams-modtagere, var angriberens mål tydeligvis at bruge deres systemer som et indledende fodspor i målorganisationens netværk. "Målet er stadig at trænge ind i hele miljøet, og afhængig af trusselgruppen, der har købt eller leaset DarkGate-varianten, kan truslerne variere fra ransomware til kryptominering," ifølge Trend Micro.
Sikkerhedsfirmaet anbefaler, at organisationer håndhæver regler om brugen af øjeblikkelige beskedapplikationer som Skype og Teams. Disse regler bør omfatte blokering af eksterne domæner, kontrol af brugen af vedhæftede filer og implementering af scanning, hvis det er muligt. Multifaktor-autentificering er også afgørende for at forhindre trusselsskuespillere i at misbruge ulovligt erhvervede legitimationsoplysninger til at kapre IM-konti, siger Trend Micro.
Kommentare