Bei der Analyse eines Angriff mit Ransomware fand Unit 42 die PlugX-Malware. Diese Variante identifiziert zuerst alle angeschlossenen USB-Wechselmediengeräte, wie Disketten-, Thumb- oder Flash-Laufwerke und infiziert dann alle eingesteckten Medien. Wird ein infizierter USB-Stick angeschlossen, springt die Infektion sofort auf alle angeschlossenen USB-Geräte über.
Palo Alto Networks Unit 42 veröffentlich eine Untersuchung von Tools, die das Team bei der Reaktion auf einen Ransomware-Angriff durch die Hacker-Gruppe Black Basta beobachtete. Bei der Untersuchung identifizierte Palo Alto Networks mehrere Tools auf den Rechnern der Opfer, die von Interesse waren, darunter: die GootLoader-Malware, das Red-Teaming-Tool Brute Ratel C4 und ein älteres PlugX-Malware-Sample.
Malware infiziert alle USB-Medien
Die PlugX-Malware stach Unit 42 besonders ins Auge, da diese Variante alle angeschlossenen USB-Wechselmediengeräte wie Disketten-, Thumb- oder Flash-Laufwerke sowie alle weiteren Systeme infiziert, an die das USB-Gerät später angeschlossen wird.
Diese PlugX-Malware versteckt auch Dateien der Angreifer in einem USB-Gerät mit einer neuartigen Technik, die zum Zeitpunkt des Verfassens dieses Beitrags sogar auf den neuesten Windows-Betriebssystemen (OS) funktioniert. Das bedeutet, dass die bösartigen Dateien nur auf einem Unix-ähnlichen (*nix)-Betriebssystem oder durch Einbinden des USB-Geräts in ein forensisches Tool angezeigt werden können.
Neue Variante versteckt infizierte Office-Dateien
Darüber hinaus entdeckte Unit 42 in VirusTotal eine ähnliche Variante von PlugX mit der zusätzlichen Fähigkeit, alle Adobe PDF- und Microsoft Word-Dokumente vom infizierten Host in den von der PlugX-Malware erstellten versteckten Ordner des USB-Geräts zu kopieren. Die Entdeckung dieser Samples zeigt, dass die Entwicklung von PlugX zumindest bei einigen technisch versierten Angreifern noch nicht abgeschlossen ist – und dass es sich weiterhin um eine aktive Bedrohung handelt.
Die PlugX-Malware ist seit über einem Jahrzehnt im Umlauf und wurde in der Vergangenheit häufig mit chinesischen APT-Gruppen in Verbindung gebracht. Im Laufe der Jahre haben andere Gruppen von Angreifern diese Malware übernommen und eingesetzt, von Nationalstaaten bis hin zu Ransomware-Akteuren.
Erkenntnisse der Untersuchung
- Diese PlugX-Variante ist wurmfähig und infiziert USB-Geräte so, dass sie sich vor dem Windows-Dateisystem verbirgt. Ein Benutzer würde nicht wissen, dass sein USB-Gerät infiziert ist und möglicherweise zur Datenexfiltration aus dem Netzwerk verwendet wird.
- Die PlugX-Malware-Variante, die bei diesem Angriff verwendet wurde, infiziert alle angeschlossenen USB-Wechselmediengeräte wie Disketten-, Thumb- oder Flash-Laufwerke sowie alle weiteren Systeme, an die das USB-Gerät später angeschlossen wird.
- Unit 42 entdeckte in VirusTotal eine ähnliche Variante von PlugX, die USB-Geräte infiziert und alle Adobe PDF- und Microsoft Word-Dateien vom Host kopiert. Diese Kopien werden in einem versteckten Ordner auf dem USB-Gerät abgelegt, der von der Malware erstellt wird.
- PlugX ist ein Second-Stage-Implantat, das nicht nur einige Gruppen mit chinesischem Hintergrund, sondern auch mehrere cyberkriminelle Gruppen verwenden. Es ist seit über einem Jahrzehnt im Umlauf und wurde bei einigen hochkarätigen Cyberangriffen beobachtet, darunter das Eindringen in das Office of Personnel Management (OPM) der US-Regierung im Jahr 2015.
- Jeder Host, der mit dieser Variante der PlugX-Malware infiziert ist, sucht ständig nach neuen USB-Wechselmedien, die er infizieren kann. Diese PlugX-Malware versteckt außerdem Angreiferdateien in einem USB-Gerät mit einer neuartigen Technik, die dafür sorgt, dass die bösartigen Dateien nur auf einem *nix-Betriebssystem oder durch Einbinden des USB-Geräts in ein forensisches Tool angezeigt werden können. Aufgrund dieser Fähigkeit, sich der Erkennung zu entziehen, kann sich die PlugX-Malware weiter ausbreiten und potenziell in abgehörte Netzwerke eindringen.
- Bei dem in diesem Fall verwendeten Brute Ratel C4 handelt es sich um dieselbe Badger-Payload (Implantat), über die Trend Micro bereits berichtet hat und die auch die Ransomware-Gruppe Black Basta betrifft.
Über Palo Alto Networks Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.