Hackers gebruiken MS Excel Macro om meerfasige malware-aanval uit te voeren in Oekraïne

Er is een nieuwe geavanceerde cyberaanval waargenomen die zich richt op eindpunten die zich in Oekraïne bevinden, met als doel Cobalt Strike in te zetten en de controle over de gecompromitteerde hosts over te nemen.

Volgens Fortinet FortiGuard Labs omvat de aanvalsketen een Microsoft Excel-bestand met een ingebedde VBA-macro om de infectie te initiëren.

“De aanvaller gebruikt een meerfasige malwarestrategie om de beruchte 'Cobalt Strike'-payload af te leveren en communicatie tot stand te brengen met een command-and-control (C2)-server”, zei beveiligingsonderzoeker Cara Lin in een rapport van maandag. “Deze aanval maakt gebruik van verschillende ontwijkingstechnieken om een ​​succesvolle levering van de lading te garanderen.”

Cobalt Strike, ontwikkeld en onderhouden door Fortra, is een legitieme toolkit voor simulatie van tegenstanders die wordt gebruikt voor red teaming-operaties. Door de jaren heen zijn gekraakte versies van de software echter op grote schaal misbruikt door bedreigingsactoren voor kwaadaardige doeleinden.

Het startpunt van de aanval is het Excel-document dat, wanneer het wordt gelanceerd, inhoud in het Oekraïens weergeeft en het slachtoffer aanspoort om “Inhoud in te schakelen” om macro's te activeren. Het is vermeldenswaard dat Microsoft vanaf juli 2022 standaard macro's in Microsoft Office heeft geblokkeerd.

Zodra macro's zijn ingeschakeld, toont het document naar verluidt inhoud die verband houdt met de hoeveelheid geld die is toegewezen aan militaire eenheden, terwijl op de achtergrond de HEX-gecodeerde macro een op DLL gebaseerde downloader inzet via het registerserver (regsvr32) hulpprogramma.

De versluierde downloader controleert lopende processen voor processen die verband houden met Avast Antivirus en Process Hacker, en beëindigt zichzelf onmiddellijk als hij er een detecteert.

Ervan uitgaande dat een dergelijk proces niet wordt geïdentificeerd, wordt contact opgenomen met een externe server om de gecodeerde payload van de volgende fase op te halen, maar alleen als het apparaat in kwestie zich in Oekraïne bevindt. Het gedecodeerde bestand is een DLL die primair verantwoordelijk is voor het starten van een ander DLL-bestand, een injector die cruciaal is voor het extraheren en uitvoeren van de uiteindelijke malware.

De aanvalsprocedure culmineert in de inzet van een Cobalt Strike Beacon die contact maakt met een C2-server (“simonandschuster(.)shop”).

“Door locatiegebaseerde controles uit te voeren tijdens het downloaden van payloads, probeert de aanvaller verdachte activiteiten te maskeren, waardoor mogelijk onderzoek door analisten wordt ontweken”, aldus Lin. “Door gebruik te maken van gecodeerde strings verbergt de VBA cruciale importstrings, waardoor de inzet van DLL-bestanden voor persistentie en het ontsleutelen van daaropvolgende payloads wordt vergemakkelijkt.”

“Bovendien ondersteunt de zelfverwijderingsfunctie ontwijkingstactieken, terwijl de DLL-injector vertragingstactieken gebruikt en bovenliggende processen beëindigt om respectievelijk sandboxing- en anti-debugging-mechanismen te omzeilen.”

Thijs Van der Does