Malware PlugX: Weiterverbreitung über USB-Geräte

B2B Cyber Security ShortNews

Beitrag teilen

Bei der Analyse eines Angriff mit Ransomware fand Unit 42 die PlugX-Malware. Diese Variante identifiziert zuerst alle angeschlossenen USB-Wechselmediengeräte, wie Disketten-, Thumb- oder Flash-Laufwerke und infiziert dann alle eingesteckten Medien. Wird ein infizierter USB-Stick angeschlossen, springt die Infektion sofort auf alle angeschlossenen USB-Geräte über.

Palo Alto Networks Unit 42 veröffentlich eine Untersuchung von Tools, die das Team bei der Reaktion auf einen Ransomware-Angriff durch die Hacker-Gruppe Black Basta beobachtete. Bei der Untersuchung identifizierte Palo Alto Networks mehrere Tools auf den Rechnern der Opfer, die von Interesse waren, darunter: die GootLoader-Malware, das Red-Teaming-Tool Brute Ratel C4 und ein älteres PlugX-Malware-Sample.

Anzeige

Malware infiziert alle USB-Medien

Die PlugX-Malware stach Unit 42 besonders ins Auge, da diese Variante alle angeschlossenen USB-Wechselmediengeräte wie Disketten-, Thumb- oder Flash-Laufwerke sowie alle weiteren Systeme infiziert, an die das USB-Gerät später angeschlossen wird.

Diese PlugX-Malware versteckt auch Dateien der Angreifer in einem USB-Gerät mit einer neuartigen Technik, die zum Zeitpunkt des Verfassens dieses Beitrags sogar auf den neuesten Windows-Betriebssystemen (OS) funktioniert. Das bedeutet, dass die bösartigen Dateien nur auf einem Unix-ähnlichen (*nix)-Betriebssystem oder durch Einbinden des USB-Geräts in ein forensisches Tool angezeigt werden können.

Neue Variante versteckt infizierte Office-Dateien

Darüber hinaus entdeckte Unit 42 in VirusTotal eine ähnliche Variante von PlugX mit der zusätzlichen Fähigkeit, alle Adobe PDF- und Microsoft Word-Dokumente vom infizierten Host in den von der PlugX-Malware erstellten versteckten Ordner des USB-Geräts zu kopieren. Die Entdeckung dieser Samples zeigt, dass die Entwicklung von PlugX zumindest bei einigen technisch versierten Angreifern noch nicht abgeschlossen ist – und dass es sich weiterhin um eine aktive Bedrohung handelt.

Die PlugX-Malware ist seit über einem Jahrzehnt im Umlauf und wurde in der Vergangenheit häufig mit chinesischen APT-Gruppen in Verbindung gebracht. Im Laufe der Jahre haben andere Gruppen von Angreifern diese Malware übernommen und eingesetzt, von Nationalstaaten bis hin zu Ransomware-Akteuren.

Erkenntnisse der Untersuchung

  • Diese PlugX-Variante ist wurmfähig und infiziert USB-Geräte so, dass sie sich vor dem Windows-Dateisystem verbirgt. Ein Benutzer würde nicht wissen, dass sein USB-Gerät infiziert ist und möglicherweise zur Datenexfiltration aus dem Netzwerk verwendet wird.
  • Die PlugX-Malware-Variante, die bei diesem Angriff verwendet wurde, infiziert alle angeschlossenen USB-Wechselmediengeräte wie Disketten-, Thumb- oder Flash-Laufwerke sowie alle weiteren Systeme, an die das USB-Gerät später angeschlossen wird.
  • Unit 42 entdeckte in VirusTotal eine ähnliche Variante von PlugX, die USB-Geräte infiziert und alle Adobe PDF- und Microsoft Word-Dateien vom Host kopiert. Diese Kopien werden in einem versteckten Ordner auf dem USB-Gerät abgelegt, der von der Malware erstellt wird.
  • PlugX ist ein Second-Stage-Implantat, das nicht nur einige Gruppen mit chinesischem Hintergrund, sondern auch mehrere cyberkriminelle Gruppen verwenden. Es ist seit über einem Jahrzehnt im Umlauf und wurde bei einigen hochkarätigen Cyberangriffen beobachtet, darunter das Eindringen in das Office of Personnel Management (OPM) der US-Regierung im Jahr 2015.
  • Jeder Host, der mit dieser Variante der PlugX-Malware infiziert ist, sucht ständig nach neuen USB-Wechselmedien, die er infizieren kann. Diese PlugX-Malware versteckt außerdem Angreiferdateien in einem USB-Gerät mit einer neuartigen Technik, die dafür sorgt, dass die bösartigen Dateien nur auf einem *nix-Betriebssystem oder durch Einbinden des USB-Geräts in ein forensisches Tool angezeigt werden können. Aufgrund dieser Fähigkeit, sich der Erkennung zu entziehen, kann sich die PlugX-Malware weiter ausbreiten und potenziell in abgehörte Netzwerke eindringen.
  • Bei dem in diesem Fall verwendeten Brute Ratel C4 handelt es sich um dieselbe Badger-Payload (Implantat), über die Trend Micro bereits berichtet hat und die auch die Ransomware-Gruppe Black Basta betrifft.
Mehr bei PaloAltoNetworks.com

 


Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.


 

Passende Artikel zum Thema

Security-Breaches bei Firewall-Geräten von Palo Alto Networks

Am 18. November 2024 gab Palo Alto Networks zwei Schwachstellen (CVE-2024-0012 und CVE-2024-9474) in Palo Alto Networks OS (PAN-OS) bekannt. ➡ Weiterlesen

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen

Bedrohungserkennung mit Sigma-Regeln

Open-Source-Projekte sind unverzichtbar für die Weiterentwicklung der Softwarelandschaft. Sie ermöglichen es einer globalen Community von Entwicklern und Cybersicherheitsexperten, Wissen auszutauschen, ➡ Weiterlesen

BSI: Brute-Force-Angriffe gegen Citrix Netscaler Gateways

Aktuell werden dem BSI verstärkt Brute-Force-Angriffe gegen Citrix Netscaler Gateways aus verschiedenen KRITIS-Sektoren sowie von internationalen Partnern gemeldet. Die aktuellen ➡ Weiterlesen

Mutmaßliche Spionagekampagne mit Malware namens Voldemort

Cybersecurity-Experten konnten eine großangelegte Malware-Kampagne namens Voldemort identifizieren. Die Malware, die dabei zum Einsatz kommt, wurde dabei über Phishing-E-Mails verbreitet. ➡ Weiterlesen