Malware PlugX: Weiterverbreitung über USB-Geräte

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Bei der Analyse eines Angriff mit Ransomware fand Unit 42 die PlugX-Malware. Diese Variante identifiziert zuerst alle angeschlossenen USB-Wechselmediengeräte, wie Disketten-, Thumb- oder Flash-Laufwerke und infiziert dann alle eingesteckten Medien. Wird ein infizierter USB-Stick angeschlossen, springt die Infektion sofort auf alle angeschlossenen USB-Geräte über.

Palo Alto Networks Unit 42 veröffentlich eine Untersuchung von Tools, die das Team bei der Reaktion auf einen Ransomware-Angriff durch die Hacker-Gruppe Black Basta beobachtete. Bei der Untersuchung identifizierte Palo Alto Networks mehrere Tools auf den Rechnern der Opfer, die von Interesse waren, darunter: die GootLoader-Malware, das Red-Teaming-Tool Brute Ratel C4 und ein älteres PlugX-Malware-Sample.

Anzeige

Malware infiziert alle USB-Medien

Die PlugX-Malware stach Unit 42 besonders ins Auge, da diese Variante alle angeschlossenen USB-Wechselmediengeräte wie Disketten-, Thumb- oder Flash-Laufwerke sowie alle weiteren Systeme infiziert, an die das USB-Gerät später angeschlossen wird.

Diese PlugX-Malware versteckt auch Dateien der Angreifer in einem USB-Gerät mit einer neuartigen Technik, die zum Zeitpunkt des Verfassens dieses Beitrags sogar auf den neuesten Windows-Betriebssystemen (OS) funktioniert. Das bedeutet, dass die bösartigen Dateien nur auf einem Unix-ähnlichen (*nix)-Betriebssystem oder durch Einbinden des USB-Geräts in ein forensisches Tool angezeigt werden können.

Anzeige

Neue Variante versteckt infizierte Office-Dateien

Darüber hinaus entdeckte Unit 42 in VirusTotal eine ähnliche Variante von PlugX mit der zusätzlichen Fähigkeit, alle Adobe PDF- und Microsoft Word-Dokumente vom infizierten Host in den von der PlugX-Malware erstellten versteckten Ordner des USB-Geräts zu kopieren. Die Entdeckung dieser Samples zeigt, dass die Entwicklung von PlugX zumindest bei einigen technisch versierten Angreifern noch nicht abgeschlossen ist – und dass es sich weiterhin um eine aktive Bedrohung handelt.

Die PlugX-Malware ist seit über einem Jahrzehnt im Umlauf und wurde in der Vergangenheit häufig mit chinesischen APT-Gruppen in Verbindung gebracht. Im Laufe der Jahre haben andere Gruppen von Angreifern diese Malware übernommen und eingesetzt, von Nationalstaaten bis hin zu Ransomware-Akteuren.

Erkenntnisse der Untersuchung

  • Diese PlugX-Variante ist wurmfähig und infiziert USB-Geräte so, dass sie sich vor dem Windows-Dateisystem verbirgt. Ein Benutzer würde nicht wissen, dass sein USB-Gerät infiziert ist und möglicherweise zur Datenexfiltration aus dem Netzwerk verwendet wird.
  • Die PlugX-Malware-Variante, die bei diesem Angriff verwendet wurde, infiziert alle angeschlossenen USB-Wechselmediengeräte wie Disketten-, Thumb- oder Flash-Laufwerke sowie alle weiteren Systeme, an die das USB-Gerät später angeschlossen wird.
  • Unit 42 entdeckte in VirusTotal eine ähnliche Variante von PlugX, die USB-Geräte infiziert und alle Adobe PDF- und Microsoft Word-Dateien vom Host kopiert. Diese Kopien werden in einem versteckten Ordner auf dem USB-Gerät abgelegt, der von der Malware erstellt wird.
  • PlugX ist ein Second-Stage-Implantat, das nicht nur einige Gruppen mit chinesischem Hintergrund, sondern auch mehrere cyberkriminelle Gruppen verwenden. Es ist seit über einem Jahrzehnt im Umlauf und wurde bei einigen hochkarätigen Cyberangriffen beobachtet, darunter das Eindringen in das Office of Personnel Management (OPM) der US-Regierung im Jahr 2015.
  • Jeder Host, der mit dieser Variante der PlugX-Malware infiziert ist, sucht ständig nach neuen USB-Wechselmedien, die er infizieren kann. Diese PlugX-Malware versteckt außerdem Angreiferdateien in einem USB-Gerät mit einer neuartigen Technik, die dafür sorgt, dass die bösartigen Dateien nur auf einem *nix-Betriebssystem oder durch Einbinden des USB-Geräts in ein forensisches Tool angezeigt werden können. Aufgrund dieser Fähigkeit, sich der Erkennung zu entziehen, kann sich die PlugX-Malware weiter ausbreiten und potenziell in abgehörte Netzwerke eindringen.
  • Bei dem in diesem Fall verwendeten Brute Ratel C4 handelt es sich um dieselbe Badger-Payload (Implantat), über die Trend Micro bereits berichtet hat und die auch die Ransomware-Gruppe Black Basta betrifft.
Mehr bei PaloAltoNetworks.com

 


Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.


 

Passende Artikel zum Thema

Security: BSI-Handbuch für Unternehmensleitung

Das BSI verteilt das neue international erscheinende Handbuch „Management von Cyber-Risiken“ für die Unternehmensleitung. Das mit der Internet Security Alliance ➡ Weiterlesen

Ransomware: Attacke auf Schweizer Medienverlag und NZZ

Die Neue Züricher Zeitung - NZZ meldete vor ein paar Tagen eine Attacke auf ihr Netzwerk und konnte daher nicht ➡ Weiterlesen

Chinesische Cyberangreifer zielen auf Zero-Day-Schwachstellen

Gefundene Zero-Day-Schwachstellen werden oft von einzelnen APT-Gruppen ausgenutzt. Laut Mandiant greifen chinesische Cyberangreifer immer mehr Zero-Day-Schwachstellen an. Der Bericht belegt ➡ Weiterlesen

Verwundbarkeit durch Cloud Bursting

Als Technik zur Anwendungsbereitstellung ermöglicht Cloud Bursting die Vereinigung des Besten aus beiden Welten. Auf der einen Seite ermöglicht es ➡ Weiterlesen

Chrome dichtet 7 hochgefährliche Lücken ab

Das Bug-Bounty-Programm von Chrome lohnt sich: Programmierer und Spezialisten haben 7 hochgefährliche Sicherheitslücken an Google gemeldet und eine Belohnung erhalten. ➡ Weiterlesen

Outlook-Angriff funktioniert ohne einen Klick!

Selbst das BSI warnt vor der Schwachstelle CVE-2023-23397 in Outlook, da diese sogar ohne einen einzigen Klick eines Anwenders ausnutzbar ➡ Weiterlesen

Emotet übernimmt Microsoft OneNote-Anhänge

Emotet geht wieder neue Wege und infiziert Microsoft OneNote-Dokumente. Das in Unternehmen beliebte digitale Notizbuch ist für viele Anwender somit ➡ Weiterlesen

USB-Wurm wandert über drei Kontinente

Die längst verstaubt geglaubte Masche eines USB-Sticks mit Schadsoftware wurde tatsächlich noch einmal aus der Cybercrime-Kiste geholt. Der bekannte Wurm ➡ Weiterlesen