5 actieve malware -campagnes in Q1 2025

Cyberbeveiliging
5 actieve malware -campagnes in Q1 2025

Het eerste kwartaal van 2025 was een slagveld in de wereld van cybersecurity. Cybercriminelen bleven agressieve nieuwe campagnes lanceren en hun aanvalsmethoden verfijnen.

Hieronder is een overzicht van vijf opmerkelijke malwarefamilies, vergezeld van analyses in gecontroleerde omgevingen.

NetSupport -rat die de ClickFix -techniek exploiteert

Begin 2025 begonnen dreigingsacteurs een techniek te exploiteren die ClickFix bekend staat om de NetSupport Remote Access Trojan (RAT) te distribueren.

Deze methode omvat het injecteren van nep -captcha -pagina’s in gecompromitteerde websites, waardoor gebruikers zich ertoe aanzetten om kwaadaardige PowerShell -opdrachten uit te voeren die de NetSupport -rat downloaden en uitvoeren.

Eenmaal geïnstalleerd, verleent deze rat aanvallers de volledige controle over het systeem van het slachtoffer, waardoor activiteiten zoals realtime schermbewaking, bestandsmanipulatie en uitvoering van willekeurige opdrachten mogelijk zijn.

Belangrijkste technische kenmerken van NetSupport Rat

  • Aanvallers kunnen het scherm van het slachtoffer in realtime bekijken en beheersen.
  • Uploads, downloads, wijzigt en verwijdert bestanden op het geïnfecteerde systeem.
  • Voert systeemopdrachten en PowerShell -scripts op afstand uit.
  • Legt gekopieerde tekst vast, inclusief wachtwoorden en gevoelige gegevens.
  • Registreert gebruikersstrooks voor diefstal van referenties.
  • Start, stopt en wijzigt systeemprocessen en -services.
  • Installeert zichzelf in opstartmappen, registersleutels of geplande taken om herstart te overleven.
  • Gebruikt procesinjectie en codeverdrijf om detectie te ontwijken.
  • Onderhoudt een heimelijke verbinding met aanvallers met behulp van gecodeerd verkeer.

Na het uitvoeren van de NetSupport Rat -lading in elke.run’s interactieve sandbox, kunnen we verschillende activiteiten zien.

Bekijk NetSupport Rat Analysis Sessie

Wanneer NetSupport-rat een systeem infecteert, legt het onmiddellijk een verbinding tot stand met een command-and-control (C2) -server, waardoor aanvallers op afstand de gecompromitteerde machine kunnen bedienen.

Door deze verbinding kunnen aanvallers systeemopdrachten uitvoeren, extra malware implementeren en systeeminstellingen wijzigen.

Rust je team uit met Any.run’s Interactieve sandbox om onbeperkte malware in realtime te analyseren, bedreigingen sneller te ontdekken en uw verdediging te versterken.

Begin vandaag nog met uw gratis proefperiode!

NetSupport Rat gebruikt meerdere tactieken, technieken en procedures (TTP’s) om persistentie te behouden, detectie te ontwijken en systeemgegevens te verzamelen. Belangrijkste TTP’s zijn:

  • Persistentie en uitvoering: wijzigt het opstarten van register, voert scripts uit via wscript.exe.
  • Discovery: leest computerman, controleert systeemtaal en toegang tot omgevingsvariabelen.
  • Defensieontduiking & C2 Communicatie: daalt legitieme Windows -uitvoerbare bestanden, maakt internetverbindingsobjecten voor afstandsbediening.

Deze technieken tonen aan hoe NetSupport Rat controle stelt en het vermijden van detectie, die allemaal zichtbaar zijn in elke ATT & CK -mapping van Run.

Lynx ransomware

De Lynx Ransomware-as-a-Service (RAAS) -groep staat bekend als een zeer georganiseerde entiteit en biedt een gestructureerd partnerprogramma en robuuste coderingsmethoden. Voortbouwend op de basis van de eerdere INC -ransomware, heeft Lynx zijn mogelijkheden verbeterd en zijn bereik uitgebreid, gericht op een divers scala aan industrieën in meerdere landen.

Met het gelieerde panel van Lynx kunnen zijn gelieerde ondernemingen slachtofferprofielen configureren, aangepaste ransomware-monsters genereren en gegevenslekschema’s beheren binnen een gebruikersvriendelijke interface. Vanwege de gestructureerde aanpak wordt het een van de meest toegankelijke ransomware, zelfs voor mensen met beperkte technische expertise.

Om de deelname te stimuleren, biedt Lynx een partner van 80% aan de opbrengst van losgeld. De groep onderhoudt een leksite waar gestolen gegevens worden gepubliceerd als slachtoffers het losgeld niet betalen.

Grote aanvallen van Lynx in Q1

In het eerste kwartaal van 2025 heeft de Lynx Ransomware-as-a-Service (RAAS) Group zijn activiteiten geïntensiveerd, gericht op verschillende industrieën met geavanceerde aanvallen.

In het bijzonder claimde Lynx in februari 2025 de verantwoordelijkheid voor het overtreden van Brown en Hurley, een prominente Australische vrachtwagendealer. De groep beweerde dat de diefstal van ongeveer 170 gigabytes van gevoelige gegevens, waaronder human resources -documenten, zakelijke contracten, klantinformatie en financiële gegevens.

In januari 2025 heeft Lynx ook Hunter Taubman Fischer & Li LLC doorbreken, een in de VS gevestigd advocatenkantoor dat gespecialiseerd is in het bedrijfs- en effectenrecht.

Belangrijkste technische kenmerken van lynx ransomware

  • Codeert standaard alle bestanden, inclusief lokale schijven, netwerkaandelen en verwijderbare media.
  • Configureerbaar via RAAS om specifieke bestandstypen, mappen of extensies te targeten.
  • Steelt gevoelige gegevens vóór codering, exfiltrerende documenten, referenties en financiële informatie.
  • Transfers gestolen gegevens over gecodeerde kanalen, zoals HTTPS of aangepaste communicatieprotocollen.
  • Verwijdert Volume Shadow kopieën en schakelt Windows Recovery -functies uit om herstel te voorkomen.
  • Sluittoepassingen die de codering kunnen blokkeren met behulp van RestartManager.
  • Gebruikt referentiedumpingtechnieken om opgeslagen wachtwoorden te extraheren van browsers, Windows Credential Manager en netwerkapparaten.
  • Onderhoudt een C2-verbinding met DGA-gebaseerde domeinen en geanonimiseerd verkeer via TOR.
  • Detecteert VM’s en sandboxen en verandert gedrag om analyse te ontwijken.
  • Wordt in het geheugen uitgevoerd zonder bestanden naar schijf te schrijven en detectie te vermijden.

We kunnen het gedrag van Lynx Ransomware uit de eerste hand observeren in een gecontroleerde omgeving. In de sandbox -analyse van Any.run ondergaat het geïnfecteerde systeem na het uitvoeren van de lynx -lading verschillende merkbare wijzigingen.

Bekijk lynx ransomware -analysesessie

De bureaubladachtergrond wordt vervangen door een losgeldbericht en de aanvallers laten een notitie achter dat alle gegevens zijn gestolen en gecodeerd. Slachtoffers worden geïnstrueerd om TOR te downloaden om contact met hen op te nemen.

De Sandbox detecteert ook hoe Lynx systematisch bestanden hernoemt en de extensie toevoegen. C: Users Admin Desktop AcademicRoad.rtf wordt bijvoorbeeld C: Users Admin Desktop AcademicRoad.rtf.lynx.

Tientallen bestanden in het hele systeem worden op deze manier gewijzigd, waardoor het coderingsproces verder wordt bevestigd. Dit zijn slechts enkele van de vele destructieve acties die Lynx eenmaal in een gecompromitteerd systeem uitvoert.

Asyncrat: gebruik van python payloads en trycloudflare tunnels

Begin 2025 ontdekten onderzoekers van cybersecurity een geavanceerde malware -campagne die asyncrat implementeerde, een externe toegang Trojan die bekend staat om zijn efficiënte, asynchrone communicatiemogelijkheden.

Deze campagne valt op vanwege het gebruik van python-gebaseerde payloads en de exploitatie van TryCloudFlare-tunnels om stealth en doorzettingsvermogen te verbeteren.

Overzicht van de infectieketen

De aanval initieert met een phishing -e -mail met een dropbox -URL. Wanneer ontvangers op de link klikken, downloaden ze een zip -archiefbehuizing een internet -snelkoppeling (URL) -bestand.

Dit bestand haalt op zijn beurt een Windows Shortcut (LNK) -bestand op via een TryCloudFlare -URL. Het uitvoeren van het LNK -bestand activeert een reeks scripts, PowerShell, JavaScript en batch scripts, die een python -payload downloaden en uitvoeren.

Deze payload is verantwoordelijk voor het implementeren van meerdere malwarefamilies, waaronder asyncrat, gif rat en xworm.

Technische kenmerken van asyncrat

  • Hiermee kunnen aanvallers opdrachten uitvoeren, gebruikersactiviteit controleren en bestanden op het gecompromitteerde systeem beheren.
  • In staat om gevoelige informatie te stelen, inclusief referenties en persoonlijke gegevens.
  • Maakt gebruik van technieken om toegang op de lange termijn te behouden, zoals het wijzigen van systeemregisters en het gebruik van opstartmappen.
  • Gebruikt obfuscatie en codering om detectie te ontwijken door beveiligingsoplossingen.

In de analysesessie van elke

Bekijk ASYNCRAT -analysesessie

Zoals we kunnen zien, maakt Asyncrat verbinding met MasterPoldo02 (.) Kozow (.) COM via poort 7575, waardoor externe aanvallers geïnfecteerde machines kunnen besturen. Het blokkeren van dit domein en het bewaken van verkeer naar deze poort kan infecties helpen voorkomen.

Bovendien installeert asyncrat zichzelf in % appData % om op te gaan in legitieme toepassingen en gebruikt een mutex (asyncmutex_alosh) om te voorkomen dat meerdere instanties worden uitgevoerd.

De malware gebruikt ook AES -codering met een hardcode sleutel en zout, waardoor het moeilijk is voor beveiligingshulpmiddelen om de communicatie ervan te analyseren.

Lumma Stealer: GitHub-gebaseerde verdeling

Begin 2025 ontdekten cybersecurity-experts een geavanceerde campagne met Lumma Stealer, een informatie-stelen malware.

Aanvallers gebruikten de release -infrastructuur van GitHub om deze malware te distribueren, waardoor de betrouwbaarheid van het platform werd benut om beveiligingsmaatregelen te omzeilen.

Eenmaal uitgevoerd, initieert Lumma Stealer extra kwaadaardige activiteiten, waaronder het downloaden en uitvoeren van andere bedreigingen zoals Sectoprat, Vidar, Cobeacon en extra Lumma Stealer -varianten.

Technische kenmerken van Lumma Stealer

  • Gedistribueerd via GitHub -releases, die de vertrouwde infrastructuur benutten om de beveiligingsdetectie te ontwijken.
  • Steelt browserreferenties, cookies, cryptocurrency -portefeuilles en systeeminformatie.
  • Stuurt gestolen gegevens naar externe servers, waardoor realtime exfiltratie mogelijk wordt.
  • Kan extra malware downloaden en uitvoeren, waaronder Sectoprat, Vidar en Cobeacon.
  • Gebruikt registeraanpassingen en opstartvermeldingen om de toegang te behouden.
  • Detecteerbaar via netwerkgebaseerde hulpmiddelen voor beveiligingsmonitoring, waarbij kwaadaardige communicatiepatronen worden onthuld.

Bekijk Lumma Analysis -sessie

Een gedetailleerd onderzoek met behulp van de Sandbox van Any.Run toont het gedrag van Lumma Stealer.

Na uitvoering maakt de malware verbinding met zijn opdracht-en-controleserver, waardoor de exfiltratie van gevoelige gegevens wordt vergemakkelijkt. De analyse onthult ook het activeren van specifieke Suricata -regels:

De analysesessie laat ook zien hoe Lumma referenties van webbrowsers steelt en persoonlijke gegevens exfiltreert:

InvisibleFerret: de stille dreiging die op de loer ligt in nepaanbiedingen

In een golf van social engineering-aanvallen hebben cybercriminelen gebruik gemaakt van InvisibleFerret, een heimelijke op Python gebaseerde malware, om nietsvermoedende slachtoffers in gevaar te brengen.

Vermomd als legitieme software in nep -sollicitatiegespreksprocessen, is deze malware actief gebruikt in de nep -interviewcampagne, waar aanvallers zich voordoen als recruiters om professionals te misleiden om kwaadaardige tools te downloaden.

Technische kenmerken van InvisableRet

  • De malware maakt gebruik van ongeorganiseerde en verdoezelde Python -scripts, waardoor analyse en detectie uitdagend zijn.
  • InvisibleFerret zoekt actief naar en exfiltreert gevoelige informatie, inclusief broncode, cryptocurrency -portefeuilles en persoonlijke bestanden.
  • Vaak geleverd als een secundaire lading door een andere malware genaamd Staartstaartwat een verduisterde op JavaScript gebaseerde infostealer en lader is.
  • De malware stelt persistentie vast op het geïnfecteerde systeem en zorgt voor voortdurende toegang en controle.

Een belangrijk element van de InvisableFerret -aanval is de inzet van Beavertail, een kwaadaardige NPM -module die een draagbare Python -omgeving (P.ZIP) levert om de malware uit te voeren.

Beavertail fungeert als de eerste fase in een meerlagige aanvalsketen en zet InvisableFerret op, een heimelijke achterdeur met geavanceerde obfuscatie- en persistentiemechanismen, waardoor detectie moeilijk wordt.

Door onzichtbaarRet in te dienen bij elke.run’s interactieve sandbox, kunnen we het gedrag ervan in realtime analyseren:

Bekijk onzichtbare sessie Analysisessie

De malware begint met het verzamelen van systeeminformatie, zoals OS-versie, hostnaam, gebruikersnaam en geolocatie, met behulp van services zoals IP-API.com, een methode die ook wordt gebruikt door cryptocurrency drainers.

Schadelijke verzoeken vermengen met normaal verkeer, waardoor detectie uitdagend wordt. De interface van elke.run belicht deze activiteiten en toont netwerkverzoeken in oranje en rood onder de virtuele machine.

Klik op de ATT & CK -knop in Any.Run’s Sandbox biedt een uitsplitsing van de TTPS van InvisableFerret. Een belangrijke detectie is T1016 (“System Network Configuration Discovery”), die benadrukt hoe de malware geolocatie en systeemgegevens verzamelt.

Laat bedreigingen niet onopgemerkt blijven – detecteer ze met een. Run

Het eerste kwartaal van 2025 is gevuld met heimelijke en agressieve cyberdreigingen, van ransomware -operaties tot stille data -stealers. Maar aanvallers hoeven niet te winnen.

Elke.run’s interactieve sandbox geeft bedrijven de kracht om malware in realtime te analyseren, verborgen gedrag te ontdekken en de verdediging te versterken voordat een aanval escaleert.

Met elke.run kunnen beveiligingsteams:

  • Verzamel IOC’s onmiddellijk om dreigingsjacht en incidentrespons te versnellen.
  • Krijg gestructureerde, diepgaande rapporten voor beter zichtbaarheid in malwaregedrag.
  • Kaartbedreigingen aan het ATT & CK -framework om tactieken en technieken te begrijpen die door aanvallers worden gebruikt.
  • Werk naadloos samen en deel realtime analyse tussen teams.

Meld u aan voor een gratis satchrun -proef vandaag en ervaar het voor uzelf!

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Oppo’s sporadische vondst N5 -beschikbaarheid is een geschenk voor Samsung

Het nieuwe ‘Dragonwing’ -merk van Qualcomm is het grote spel om meer bekend te zijn dan alleen telefoonchips

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]