Thaise overheidsfunctionarissen zijn het doelwit geworden van een nieuwe campagne die gebruik maakt van een techniek genaamd DLL side-loading om een voorheen ongedocumenteerde achterdeur, genaamd Yokai.
“Het doelwit van de bedreigingsactoren waren Thaise functionarissen, gebaseerd op de aard van het kunstaas”, vertelde Nikhil Hegde, senior engineer van Netskope’s Security Efficacy-team, aan The Hacker News. “De Yokai-achterdeur zelf is niet beperkt en kan tegen elk potentieel doelwit worden gebruikt.”
Het startpunt van de aanvalsketen is een RAR-archief met daarin twee Windows-snelkoppelingsbestanden, genaamd in het Thais, die zich vertalen naar ‘United States Department of Justice.pdf’ en ‘United States Government Requests International Cooperation in Criminal Affairs.docx’.
De exacte initiële vector die werd gebruikt om de lading af te leveren is momenteel niet bekend, hoewel Hegde speculeerde dat het waarschijnlijk spear-phishing zou zijn vanwege de gebruikte lokmiddelen en het feit dat RAR-bestanden zijn gebruikt als kwaadaardige bijlagen in phishing-e-mails.
Het starten van de snelkoppelingsbestanden zorgt ervoor dat respectievelijk een lok-PDF- en Microsoft Word-document wordt geopend, terwijl ook een kwaadaardig uitvoerbaar bestand heimelijk op de achtergrond wordt neergezet. Beide lokdossiers hebben betrekking op Woravit Mektrakarn, een Thaise staatsburger die in de VS wordt gezocht in verband met de verdwijning van een Mexicaanse immigrant. Mektrakarn werd in 2003 beschuldigd van moord en zou naar Thailand zijn gevlucht.
Het uitvoerbare bestand is op zijn beurt ontworpen om nog drie bestanden te verwijderen: een legitiem binair bestand dat is gekoppeld aan de iTop Data Recovery-applicatie (“IdrInit.exe”), een kwaadaardige DLL (“ProductStatistics3.dll”) en een DATA-bestand met informatie verzonden door een door een aanvaller bestuurde server. In de volgende fase wordt “IdrInit.exe” misbruikt om de DLL te sideloaden, wat uiteindelijk leidt tot de inzet van de achterdeur.
Yokai is verantwoordelijk voor het instellen van persistentie op de host en voor het verbinden met de command-and-control (C2)-server om opdrachtcodes te ontvangen waarmee cmd.exe kan worden gegenereerd en shell-opdrachten op de host kunnen worden uitgevoerd.
De ontwikkeling komt op het moment dat Zscaler ThreatLabz onthulde dat het een malwarecampagne ontdekte die gebruik maakte van door Node.js gecompileerde uitvoerbare bestanden voor Windows om cryptocurrency-miners en informatiestelers zoals XMRig, Lumma en Phemedrone Stealer te verspreiden. De frauduleuze applicaties hebben de codenaam NodeLoader gekregen.
De aanvallen maken gebruik van kwaadaardige links die zijn ingebed in YouTube-videobeschrijvingen, waardoor gebruikers naar MediaFire of valse websites worden geleid die hen aansporen een ZIP-archief te downloaden dat is vermomd als videogame-hacks. Het einddoel van de aanvallen is het extraheren en uitvoeren van NodeLoader, die op zijn beurt een PowerShell-script downloadt dat verantwoordelijk is voor het lanceren van de malware in de laatste fase.
“NodeLoader gebruikt een module genaamd sudo-prompt, een publiekelijk beschikbare tool op GitHub en npm, voor escalatie van bevoegdheden”, aldus Zscaler. “De bedreigingsactoren maken gebruik van social engineering en anti-ontduikingstechnieken om NodeLoader onopgemerkt af te leveren.”
Het volgt ook op een piek in het aantal phishing-aanvallen waarbij de in de handel verkrijgbare Remcos RAT wordt verspreid, waarbij bedreigingsactoren de infectieketens een make-over geven door Visual Basic Script (VBS)-scripts en Office Open XML-documenten te gebruiken als startpunt om het meerfasige proces te activeren.
Bij één reeks aanvallen leidt het uitvoeren van het VBS-bestand tot een zeer onduidelijk PowerShell-script dat tussentijdse payloads downloadt, wat uiteindelijk resulteert in de injectie van Remcos RAT in RegAsm.exe, een legitiem Microsoft .NET-uitvoerbaar bestand.
De andere variant houdt het gebruik van een Office Open XML-document in om een RTF-bestand te laden dat gevoelig is voor CVE-2017-11882, een bekende fout bij het uitvoeren van externe code in Microsoft Equation Editor, om een VBS-bestand op te halen dat vervolgens PowerShell ophaalt om te injecteren Remcos-payload in het geheugen van RegAsm.exe.
Het is de moeite waard om erop te wijzen dat beide methoden vermijden om het schrijven van bestanden op schijf achter te laten en deze in geldige processen te laden in een doelbewuste poging om detectie door beveiligingsproducten te omzeilen.
“Terwijl deze trojan voor externe toegang zich blijft richten op consumenten via phishing-e-mails en kwaadaardige bijlagen, is de behoefte aan proactieve cyberbeveiligingsmaatregelen nog nooit zo cruciaal geweest”, aldus onderzoekers van McAfee Labs.
