Malware PlugX: Weiterverbreitung über USB-Geräte

B2B Cyber Security ShortNews

Beitrag teilen

Bei der Analyse eines Angriff mit Ransomware fand Unit 42 die PlugX-Malware. Diese Variante identifiziert zuerst alle angeschlossenen USB-Wechselmediengeräte, wie Disketten-, Thumb- oder Flash-Laufwerke und infiziert dann alle eingesteckten Medien. Wird ein infizierter USB-Stick angeschlossen, springt die Infektion sofort auf alle angeschlossenen USB-Geräte über.

Palo Alto Networks Unit 42 veröffentlich eine Untersuchung von Tools, die das Team bei der Reaktion auf einen Ransomware-Angriff durch die Hacker-Gruppe Black Basta beobachtete. Bei der Untersuchung identifizierte Palo Alto Networks mehrere Tools auf den Rechnern der Opfer, die von Interesse waren, darunter: die GootLoader-Malware, das Red-Teaming-Tool Brute Ratel C4 und ein älteres PlugX-Malware-Sample.

Malware infiziert alle USB-Medien

Die PlugX-Malware stach Unit 42 besonders ins Auge, da diese Variante alle angeschlossenen USB-Wechselmediengeräte wie Disketten-, Thumb- oder Flash-Laufwerke sowie alle weiteren Systeme infiziert, an die das USB-Gerät später angeschlossen wird.

Diese PlugX-Malware versteckt auch Dateien der Angreifer in einem USB-Gerät mit einer neuartigen Technik, die zum Zeitpunkt des Verfassens dieses Beitrags sogar auf den neuesten Windows-Betriebssystemen (OS) funktioniert. Das bedeutet, dass die bösartigen Dateien nur auf einem Unix-ähnlichen (*nix)-Betriebssystem oder durch Einbinden des USB-Geräts in ein forensisches Tool angezeigt werden können.

Neue Variante versteckt infizierte Office-Dateien

Darüber hinaus entdeckte Unit 42 in VirusTotal eine ähnliche Variante von PlugX mit der zusätzlichen Fähigkeit, alle Adobe PDF- und Microsoft Word-Dokumente vom infizierten Host in den von der PlugX-Malware erstellten versteckten Ordner des USB-Geräts zu kopieren. Die Entdeckung dieser Samples zeigt, dass die Entwicklung von PlugX zumindest bei einigen technisch versierten Angreifern noch nicht abgeschlossen ist – und dass es sich weiterhin um eine aktive Bedrohung handelt.

Die PlugX-Malware ist seit über einem Jahrzehnt im Umlauf und wurde in der Vergangenheit häufig mit chinesischen APT-Gruppen in Verbindung gebracht. Im Laufe der Jahre haben andere Gruppen von Angreifern diese Malware übernommen und eingesetzt, von Nationalstaaten bis hin zu Ransomware-Akteuren.

Erkenntnisse der Untersuchung

  • Diese PlugX-Variante ist wurmfähig und infiziert USB-Geräte so, dass sie sich vor dem Windows-Dateisystem verbirgt. Ein Benutzer würde nicht wissen, dass sein USB-Gerät infiziert ist und möglicherweise zur Datenexfiltration aus dem Netzwerk verwendet wird.
  • Die PlugX-Malware-Variante, die bei diesem Angriff verwendet wurde, infiziert alle angeschlossenen USB-Wechselmediengeräte wie Disketten-, Thumb- oder Flash-Laufwerke sowie alle weiteren Systeme, an die das USB-Gerät später angeschlossen wird.
  • Unit 42 entdeckte in VirusTotal eine ähnliche Variante von PlugX, die USB-Geräte infiziert und alle Adobe PDF- und Microsoft Word-Dateien vom Host kopiert. Diese Kopien werden in einem versteckten Ordner auf dem USB-Gerät abgelegt, der von der Malware erstellt wird.
  • PlugX ist ein Second-Stage-Implantat, das nicht nur einige Gruppen mit chinesischem Hintergrund, sondern auch mehrere cyberkriminelle Gruppen verwenden. Es ist seit über einem Jahrzehnt im Umlauf und wurde bei einigen hochkarätigen Cyberangriffen beobachtet, darunter das Eindringen in das Office of Personnel Management (OPM) der US-Regierung im Jahr 2015.
  • Jeder Host, der mit dieser Variante der PlugX-Malware infiziert ist, sucht ständig nach neuen USB-Wechselmedien, die er infizieren kann. Diese PlugX-Malware versteckt außerdem Angreiferdateien in einem USB-Gerät mit einer neuartigen Technik, die dafür sorgt, dass die bösartigen Dateien nur auf einem *nix-Betriebssystem oder durch Einbinden des USB-Geräts in ein forensisches Tool angezeigt werden können. Aufgrund dieser Fähigkeit, sich der Erkennung zu entziehen, kann sich die PlugX-Malware weiter ausbreiten und potenziell in abgehörte Netzwerke eindringen.
  • Bei dem in diesem Fall verwendeten Brute Ratel C4 handelt es sich um dieselbe Badger-Payload (Implantat), über die Trend Micro bereits berichtet hat und die auch die Ransomware-Gruppe Black Basta betrifft.
Mehr bei PaloAltoNetworks.com

 


Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.


 

Passende Artikel zum Thema

Bösartiges Site Hopping

In letzter Zeit wird vermehrt eine neue Technik zur Umgehung von Sicherheitsscannern eingesetzt, nämlich das „Site Hopping“. Diese Technik ist ➡ Weiterlesen

Neue Ransomware-Gruppe Money Message entdeckt

Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar ➡ Weiterlesen

Wardriving mit künstlicher Intelligenz

Mittlerweile werden KI-Tools millionenfach eingesetzt, um Themen zu recherchieren, Briefe zu schreiben und Bilder zu erstellen. Doch auch im Bereich ➡ Weiterlesen

LockBit veröffentlich 43 GByte gestohlene Boeing-Daten

Bereits im Oktober vermeldete die APT-Gruppe LockBit, dass man bei Boeing in die Systeme eingedrungen sei und viele Daten gestohlen ➡ Weiterlesen

Veeam ONE: Hotfix für kritische Schwachstellen steht bereit 

Veeam informiert seine Nutzer über zwei kritische und zwei mittlere Schwachstellen in Veeam One für die bereits Patches bereitstehen. Die ➡ Weiterlesen

Cyberattacke auf Deutsche Energie-Agentur – dena

Die Deutsche Energie-Agentur vermeldet nach eigenen Angaben eine Cyberattacke am Wochenende vom 11. auf den 12. November. Die Server sind ➡ Weiterlesen

LockBit: Gestohlene Shimano-Daten wohl veröffentlicht

Der japanische Hersteller für Fahrradteile Shimano wurde Ziel laut LockBit Opfer eines Ransomware-Angriffs und zeigte sich offenbar nicht bereit, Lösegeld ➡ Weiterlesen

IoT-Geräte: Bedrohung aus dem Darknet

IoT-Geräte sind ein beliebtes Angriffsziel für Cyberkriminelle. Im Darknet werden diese Angriffe als Dienstleistung angeboten. Insbesondere Services für DDoS-Angriffe die ➡ Weiterlesen