Wie in unserem letzten Blog beschrieben, hat der russische Akteur Secret Blizzard die Tools und die Infrastruktur eines anderen nationalstaatlichen Bedrohungsakteurs übernommen, um Spionageaktivitäten zu erleichtern. Microsoft Threat Intelligence hat beobachtet, dass diese Kampagnen durchweg zum Download der von Secret Blizzard entwickelten Malware führten, wobei die Tavdig-Backdoor die Grundlage für die Installation der KazuarV2-Backdoor bildete.
Zwischen März und April 2024 beobachtete Microsoft Threat Intelligence, dass Secret Blizzard die Bot-Malware Amadey im Zusammenhang mit cyberkriminellen Aktivitäten, die Microsoft als Storm-1919 verfolgt, dazu nutzte, seine Backdoors auf speziell ausgewählte Zielgeräte herunterzuladen, die mit dem ukrainischen Militär in Verbindung stehen. Dies war mindestens das zweite Mal seit 2022, dass Secret Blizzard eine Cyberkriminalitätskampagne genutzt hat, um seiner eigenen Malware in der Ukraine ein Standbein zu verschaffen. Microsoft geht außerdem davon aus, dass Secret Blizzard im Januar 2024 die Backdoor von Storm-1837, einem in Russland ansässigen Bedrohungsakteur, der es auf ukrainische Militärdrohnenpiloten abgesehen hat, zum Herunterladen der Backdoors Tavdig und KazuarV2 auf ein Zielgerät in der Ukraine nutzte.
Die Beherrschung des Zugangs anderer Bedrohungsakteure unterstreicht den Ansatz von Secret Blizzard zur Diversifizierung seiner Angriffsvektoren, einschließlich der Nutzung strategischer Webkompromittierungen (Watering Holes) und AiTM-Kampagnen (Adversary-in-the-Middle), die wahrscheinlich durch gesetzlich vorgeschriebene Abhörsysteme in Russland wie das "System für operative Ermittlungsaktivitäten" (SORM) erleichtert werden. In der Regel nutzt Secret Blizzard Spear-Phishing als ersten Angriffsvektor und kompromittiert dann Server- und Edge-Geräte, um weitere laterale Bewegungen innerhalb eines Netzwerks von Interesse zu ermöglichen.
Wie bereits erwähnt, ist Secret Blizzard dafür bekannt, ein breites Spektrum von Sektoren ins Visier zu nehmen, vor allem aber Außenministerien, Botschaften, Regierungsstellen, Verteidigungsministerien und verteidigungsbezogene Unternehmen weltweit. Secret Blizzard konzentriert sich darauf, langfristigen Zugang zu Systemen zu erlangen, um Informationen zu sammeln, und ist oft auf der Suche nach fortschrittlichen Forschungsergebnissen und Informationen von politischer Bedeutung, wobei umfangreiche Ressourcen wie mehrere Hintertüren eingesetzt werden. Die United States Cybersecurity and Infrastructure Security Agency (CISA) hat Secret Blizzard dem Zentrum 16 des russischen Föderalen Sicherheitsdienstes (FSB) zugeordnet. Secret Blizzard überschneidet sich mit dem Bedrohungsakteur, der von anderen Sicherheitsanbietern als Turla, Waterbug, Venomous Bear, Snake, Turla Team und Turla APT Group bezeichnet wird.
Microsoft verfolgt die Kampagnen von Secret Blizzard und benachrichtigt, wenn möglich, direkt Kunden, die angegriffen oder kompromittiert wurden, und stellt ihnen die notwendigen Informationen zur Verfügung, um ihre Umgebungen zu schützen. Im Rahmen unserer kontinuierlichen Überwachung, Analyse und Berichterstattung über die Bedrohungslandschaft stellen wir unsere Erkenntnisse über die Aktivitäten von Secret Blizzard zur Verfügung, um das Bewusstsein für die Vorgehensweise dieses Bedrohungsakteurs zu schärfen und Unternehmen darüber aufzuklären, wie sie ihre Angriffsflächen gegen diese und ähnliche Aktivitäten schützen können. Darüber hinaus weisen wir darauf hin, dass die Nutzung der Infrastruktur und des Zugriffs durch andere Bedrohungsakteure durch Secret Blizzard zwar ungewöhnlich, aber nicht einzigartig ist, so dass Organisationen, die von einem Bedrohungsakteur kompromittiert wurden, durch das erste Eindringen auch von einem anderen kompromittiert werden können.
Verwendung des Amadey-Bots und Aktivitäten nach der Kompromittierung
Zwischen März und April 2024 beobachtete Microsoft, dass Secret Blizzard wahrscheinlich Amadey-Bots befehligte, um letztlich ihre maßgeschneiderte Tavdig-Backdoor einzusetzen. Microsoft verfolgt einige cyberkriminelle Aktivitäten im Zusammenhang mit Amadey-Bots als Storm-1919. Das Ziel von Storm-1919 nach der Infektion ist meist die Bereitstellung von XMRIG-Kryptowährungs-Minern auf den Geräten der Opfer. Amadey-Bots wurden von Secret Blizzard und anderen Bedrohungsakteuren, die zu Storm-1919 gehören, im Jahr 2024 auf zahlreichen Geräten in aller Welt eingesetzt.
Microsoft geht davon aus, dass Secret Blizzard entweder die Amadey-Malware als Dienst (MaaS) nutzte oder heimlich auf die Amadey-Befehls- und Kontrollbereiche (C2) zugriff, um einen PowerShell-Dropper auf die Zielgeräte herunterzuladen. Der PowerShell-Dropper enthielt eine Base64-kodierte Amadey-Nutzlast, an die ein Code angehängt war, der eine Anfrage an die geheime C2-Infrastruktur von Blizzard aufrief.
Die Amadey-Instanz war Version 4.18, hatte aber im Allgemeinen die gleiche Funktionalität wie der Amadey-Bot, der in einem Splunk-Blog vom Juli 2023 beschrieben wurde und Version 3.83 analysierte.
Das Amadey-Beispiel sammelte eine beträchtliche Menge an Informationen über das Opfersystem, einschließlich des Administratorstatus und des Gerätenamens aus der Registrierung, und überprüfte die installierte Antivirensoftware, indem es feststellte, ob sie einen Ordner in C:\ProgrammDaten. Für jede gefundene Software wurden Nummern notiert und wahrscheinlich an C2 zurückgeschickt:
- Avast Software
- Avira
- Kaspersky Lab
- ESET
- Panda Sicherheit
- Doktor Web
- AVG
- 360TotalSecurity
- Bitdefender
- Norton
- Sophos
- Comodo
Die abgerufenen Informationen wurden vom System erfasst, um sie in der an C2 gesendeten Mitteilung zu kodieren. http://vitantgroup[.]com/xmlrpc.php. Der Amadey-Bot versuchte dann, zwei Plugins vom C2-Server herunterzuladen:
- hxxp://vitantgroup[.]com/Plugins/cred64.dll
- hxxp://vitantgroup[.]com/Plugins/clip64.dll
Microsoft hat die beiden DLLs auf den Geräten, auf die Secret Blizzard Zugriff hatte, nicht beobachtet, aber es ist wahrscheinlich, dass sie dieselbe Funktion wie bei anderen ähnlichen Amadey-Bots erfüllten - das Sammeln von Daten aus der Zwischenablage und Browser-Anmeldeinformationen. Die Notwendigkeit, den PowerShell-Dropper mit einer separaten, von Secret Blizzard kontrollierten C2-URL zu verschlüsseln, könnte darauf hindeuten, dass Secret Blizzard nicht direkt die Kontrolle über den vom Amadey-Bot verwendeten C2-Mechanismus hatte.
Anschließend beobachtete Microsoft, dass Secret Blizzard sein benutzerdefiniertes Aufklärungs- oder Erkundungstool herunterlud. Dieses Tool wurde selektiv auf Geräten eingesetzt, die für den Bedrohungsakteur von Interesse waren, z. B. auf Geräten, die von STARLINK-IP-Adressen ausgingen, einer häufigen Signatur ukrainischer Front-Militärgeräte. Das Umfragetool bestand aus einer ausführbaren Datei, die ein Batch-Skript oder Cmdlets zur Laufzeit mit einem anscheinend benutzerdefinierten RC4-Algorithmus entschlüsselte. Eines der Batch-Skripte rief den folgenden Befehl auf:
Das Batch-Skript sammelte eine Übersicht über das Opfergerät, einschließlich Verzeichnisbaum, Systeminformationen, aktive Sitzungen, IPv4-Routentabelle, SMB-Freigaben, aktivierte Sicherheitsgruppen und Zeiteinstellungen. Diese Informationen wurden mit der gleichen RC4-Funktion verschlüsselt und an den bereits erwähnten Secret Blizzard C2-Server unter hxxps://citactica[.]com/wp-content/wp-login.php.
Bei einer anderen Verwendung des Umfragetools, die von Microsoft Threat Intelligence beobachtet wurde, entschlüsselte die ausführbare Datei einfach das Cmdlet dir "%programdata%\Microsoft\Windows Defender\Support. Die %Programmdaten%\Microsoft\Windows Defender\Support enthält verschiedene Microsoft Defender-Protokolle, z. B. Einträge über erkannte bösartige Dateien.
Microsoft geht davon aus, dass dieses Cmdlet aufgerufen wurde, um festzustellen, ob Microsoft Defender aktiviert war und ob frühere Amadey-Aktivitäten von der Engine erkannt worden waren. Da bei mehreren der von Microsoft beobachteten Zielgeräte Microsoft Defender während der Erstinfektion deaktiviert war, wurden die Secret Blizzard-Implantate von Microsoft erst Wochen oder Monate nach der ersten Malware-Installation entdeckt.
Microsoft geht davon aus, dass Secret Blizzard das Umfragetool in der Regel verwendet hat, um festzustellen, ob ein Gerät eines Opfers von weiterem Interesse ist. In diesem Fall wurde ein PowerShell-Dropper mit der Tavdig-Backdoor-Nutzlast (rastls.dll) und eine legitime Symantec-Binärdatei mit dem Namen (kavp.exe), die für DLL-Sideloading anfällig ist. Die C2-Konfiguration für Tavdig war:
- hxxps://icw2016.coachfederation[.]cz/wp-includes/images/wp/
- hxxps://hospitalvilleroy[.]com[.]br/wp-includes/fonts/icons/
Auf mehreren der Opfergeräte wurde der Tavdig-Loader über eine ausführbare Datei namens procmap.exedie den Microsoft Macro Assembler (MASM) Compiler (QEditor) verwendeten. Microsoft geht davon aus, dass procmap.exe wurde verwendet, um im März 2024 bösartige ASM-Dateien auf Opfergeräten in der Ukraine zu kompilieren und auszuführen, die dann ein PowerShell-Skript aufriefen, das anschließend die Amadey-Bots und die Tavdig-Backdoor lud.
Secret Blizzard verwendete dann die Tavdig-Backdoor, die in kavp.exe-um weitere Erkundungen auf dem Gerät durchzuführen, einschließlich Benutzerinformationen, Netstat und installierte Patches. Secret Blizzard verwendete außerdem Tavdig, um eine Registrierungsdatei in die Registrierung des Opfergeräts zu importieren, wodurch wahrscheinlich der Persistenzmechanismus und die Nutzlast für die KazuarV2-Backdoor installiert wurden.
Abbildung 3. Beispiel dafür, wie Amadey-Bots zum Laden der Tavdig-Backdoor verwendet wurden
Die KazuarV2-Nutzlast wurde häufig in einen Browser-Prozess wie z. B. erforscher.exe oder opera.exe zur Erleichterung der Befehls- und Kontrolltätigkeit mit kompromittierten Webservern, auf denen das Relais- und Verschlüsselungsmodul von Secret Blizzard (index.php). Dieses Modul ermöglichte die Verschlüsselung und Weiterleitung von Befehlsausgaben und exfiltrierten Daten von dem betroffenen Gerät an die nächste Ebene der geheimen Blizzard-Infrastruktur.
Sturm-1837 PowerShell-Backdoor-Verwendung
Microsoft hat Storm-1837 beobachtet (Überschneidungen mit Aktivitäten, die von anderen Sicherheitsanbietern als Flying Yeti und UAC-0149 erfasst wurden), der seit Dezember 2023 auf Geräte des ukrainischen Militärs abzielt. Storm-1837 ist ein in Russland ansässiger Bedrohungsakteur, der sich auf Geräte konzentriert, die von ukrainischen Drohnenbetreibern verwendet werden. Storm-1837 verwendet eine Reihe von PowerShell-Backdoors, darunter die vom Computer Emergency Response Team of Ukraine (CERT-UA) als Cookbox bezeichnete Backdoor, sowie eine Android-Backdoor namens "Griselda", die sich als legitimes System für die KI-Verarbeitung ausgibt, laut CERT-UA auf der Android-Banking-Malware Hydra basiert und das Sammeln von Sitzungsdaten (HTTP-Cookies), Kontakten und Keylogging ermöglicht. Im Mai 2024 berichtete Cloudflare über eine Spionage-Phishing-Kampagne von Storm-1837 gegen ukrainische Militärgeräte, für die Storm-1837 sowohl GitHub als auch Cloudflare als Staging und C2 nutzte.
Im Januar 2024 beobachtete Microsoft, dass ein militärisch genutztes Gerät in der Ukraine durch eine Storm-1837-Backdoor kompromittiert wurde, die so konfiguriert war, dass sie die Telegram-API zum Starten eines Cmdlets mit (als Parameter bereitgestellten) Anmeldeinformationen für ein Konto auf der File-Sharing-Plattform Mega verwendete. Das Cmdlet ermöglichte offenbar Remote-Verbindungen zu dem Konto bei Mega und rief wahrscheinlich den Download von Befehlen oder Dateien zum Starten auf dem Zielgerät auf. Als die Storm-1837 PowerShell-Backdoor gestartet wurde, stellte Microsoft fest, dass ein PowerShell-Dropper auf dem Gerät bereitgestellt wurde. Der Dropper ähnelte sehr dem, der bei der Verwendung von Amadey-Bots beobachtet wurde, und enthielt zwei base64-kodierte Dateien mit der zuvor erwähnten Tavdig-Backdoor-Nutzlast (rastls.dll) und die Symantec-Binärdatei (kavp.exe).
Wie bei der Amadey-Bot-Angriffskette verwendete Secret Blizzard die Tavdig-Hintertür, die in kavp.exe um eine erste Erkundung des Geräts durchzuführen. Secret Blizzard verwendete dann Tavdig, um eine Registrierungsdatei zu importieren, die zur Installation und Persistenz der KazuarV2-Backdoor verwendet wurde, die anschließend auf dem betroffenen Gerät gestartet wurde.
Obwohl Microsoft nicht direkt beobachtet hat, dass die Storm-1837 PowerShell-Backdoor den Tavdig-Loader herunterlädt, geht Microsoft aufgrund der zeitlichen Nähe zwischen der Ausführung der Storm-1837-Backdoor und der Beobachtung des PowerShell-Droppers davon aus, dass die Storm-1837-Backdoor wahrscheinlich von Secret Blizzard zur Bereitstellung des Tavdig-Loaders verwendet wurde.
Zusammenfassende Bewertungen
Microsoft Threat Intelligence untersucht derzeit noch, wie Secret Blizzard die Kontrolle über die Storm-1837-Backdoor oder Amadey-Bots erlangt hat, um seine eigenen Tools auf Geräte in der Ukraine herunterzuladen. Es ist zum Beispiel möglich, dass die Betreiber von Secret Blizzard die Nutzung von Amadey-Bots gekauft haben oder sich heimlich einen Teil der Amadey-Angriffskette angeeignet haben.
Unabhängig von den Mitteln ist Microsoft Threat Intelligence der Ansicht, dass Secret Blizzards Verfolgung von Stützpunkten, die von anderen Bedrohungsakteuren zur Verfügung gestellt oder von diesen gestohlen wurden, zeigt, dass dieser Bedrohungsakteur dem Zugriff auf militärische Geräte in der Ukraine Priorität einräumt. Während seiner Operationen hat Secret Blizzard eine RC4-verschlüsselte ausführbare Datei verwendet, um verschiedene Umfrage-Cmdlets und Skripte zu entschlüsseln - eine Methode, die Secret Blizzard nach Einschätzung von Microsoft wahrscheinlich auch über die hier besprochene unmittelbare Kampagne hinaus verwenden wird.
Secret Blizzard hat für diese (nicht domänengebundenen) Geräte Tools bereitgestellt, die für die Spionage gegen große domänengebundene Umgebungen kodiert sind. Dieser Bedrohungsakteur hat jedoch auch neue Funktionen in diese Tools eingebaut, um sie für die Spionage speziell gegen ukrainische Militärgeräte relevanter zu machen. Darüber hinaus hat Secret Blizzard nach Einschätzung von Microsoft wahrscheinlich auch versucht, diese Ansatzpunkte zu nutzen, um einen Tunnel zu graben und sich auf strategischer Ebene Zugang zum Ministerium zu verschaffen.
Wenn man die Teile eins und zwei dieser Blogserie zusammennimmt, deutet dies darauf hin, dass Secret Blizzard Footholds von Dritten verwendet hat - entweder durch heimlichen Diebstahl oder durch den Kauf von Zugang - als eine spezifische und bewusste Methode, um Footholds von Spionagewert zu schaffen. Microsoft ist jedoch der Ansicht, dass dieser Ansatz zwar einige Vorteile hat, die dazu führen könnten, dass mehr Bedrohungsgegner ihn verwenden, dass er aber gegen gehärtete Netzwerke, in denen eine gute Endpunkt- und Netzwerkverteidigung die Erkennung von Aktivitäten mehrerer Bedrohungsgegner ermöglicht, von geringerem Nutzen ist, um Abhilfe zu schaffen.
Abhilfemaßnahmen
Um Netzwerke gegen die oben aufgeführten Secret Blizzard-Aktivitäten zu schützen, können Verteidiger folgende Maßnahmen ergreifen:
Stärkung der Microsoft Defender for Endpoint-Konfiguration
- Microsoft Defender XDR-Kunden können Regeln zur Reduzierung der Angriffsfläche implementieren, um eine Umgebung gegen die von Bedrohungsakteuren verwendeten Techniken zu schützen.
- Blockieren Sie die Ausführung von potenziell verschleierten Skripten.
- Blockieren Sie die Erstellung von Prozessen, die von PSExec- und WMI-Befehlen ausgehen.
- Blockieren Sie die Ausführung von ausführbaren Dateien, sofern sie nicht ein Kriterium bezüglich der Prävalenz, des Alters oder der vertrauenswürdigen Liste erfüllen.
- Blockierung des Missbrauchs von ausgenutzten anfälligen signierten Treibern.
- Webshell-Erstellung für Server blockieren.
- Aktivieren Sie den Netzwerkschutz in Microsoft Defender für Endpoint.
- Stellen Sie sicher, dass der Manipulationsschutz in Microsoft Dender für Endpoint aktiviert ist.
- Führen Sie die Endpunkterkennung und -reaktion im Blockmodus aus, damit Microsoft Defender for Endpoint bösartige Artefakte auch dann blockieren kann, wenn Ihr Nicht-Microsoft-Antivirus die Bedrohung nicht erkennt oder wenn Microsoft Defender Antivirus im passiven Modus ausgeführt wird.
- Konfigurieren Sie die Untersuchung und Behebung im vollständig automatisierten Modus, damit Microsoft Defender for Endpoint sofort auf Warnungen reagieren kann, um Verstöße zu beheben, und so das Warnvolumen erheblich reduziert.
Stärkung der Microsoft Defender Antivirus-Konfiguration
- Aktivieren Sie den PUA-Schutz im Blockiermodus in Microsoft Defender Antivirus.
- Aktivieren Sie den Cloud-Schutz in Microsoft Defender Antivirus oder dem entsprechenden Antivirenprodukt, um die sich schnell entwickelnden Tools und Techniken von Bedrohungsakteuren abzudecken.
- Aktivieren Sie den Echtzeitschutz von Microsoft Defender Antivirus.
Stärkung der Konfiguration der Betriebsumgebung
- Ermuntern Sie Benutzer zur Verwendung von Microsoft Edge und anderen Webbrowsern, die SmartScreen unterstützen, das bösartige Websites, einschließlich Phishing-Websites, Betrugs-Websites und Websites, die Malware hosten, identifiziert und blockiert. Implementieren Sie PowerShell-Ausführungsrichtlinien, um die Bedingungen zu kontrollieren, unter denen PowerShell Konfigurationsdateien laden und Skripte ausführen kann.
- Aktivieren und überwachen Sie die PowerShell-Modul- und Skriptblockprotokollierung.
- Implementieren Sie PowerShell-Ausführungsrichtlinien, um die Bedingungen zu steuern, unter denen PowerShell Konfigurationsdateien laden und Skripts ausführen kann.
- Aktivieren und überwachen Sie die PowerShell-Modul- und Skriptblockprotokollierung.
Microsoft Defender XDR-Erkennungen
Microsoft Defender Antivirus
Microsoft Defender Antivirus erkennt diese Bedrohung als die folgende Malware:
- Trojan:Win32/Tavdig.Crypt
- Trojan:JS/Kazuar.A
Microsoft Defender Antivirus erkennt zusätzliche Bedrohungskomponenten, die mit der folgenden Malware in Verbindung stehen können:
- Trojan:Win32/Amadey
- Trojan:MSIL/Amadey
- TrojanDownloader:Win32/Amadey
Microsoft Defender für Endpunkte
Die folgenden Warnmeldungen können ebenfalls auf eine mit dieser Bedrohung verbundene Aktivität hinweisen. Diese Warnungen können jedoch durch eine nicht mit der Bedrohung zusammenhängende Aktivität ausgelöst werden und werden in den mit diesem Bericht gelieferten Statuskarten nicht überwacht.
- Geheime Blizzard-Akteurs-Aktivität entdeckt
Fragen zur Jagd
Microsoft Defender XDR
Oberflächeninstanzen der geheimen Blizzard-Indikatoren für kompromittierte Datei-Hashes.
let fileHashes = dynamic(["Ee8ef58f3bf0dab066eb608cb0f167b1585e166bf4730858961c192860ceffe9", "d26ac1a90f3b3f9e11491f789e55abe5b7d360df77c91a597e775f6db49902ea", "d7e528b55b2eeb6786509664a70f641f14d0c13ceec539737eef26857355536e", "dfdc0318f3dc5ba3f960b1f338b638cd9645856d2a2af8aa33ea0f9979a9ca4c", "ced8891ea8d87005de989f25f0f94634d1fc70ebb37302cf21aa0c0b0e13350f", "Ee8ef58f3bf0dab066eb608cb0f167b1585e166bf4730858961c192860ceffe9"]);Gewerkschaft( DeviceFileEvents | wo SHA256 in (fileHashes) | Projekt Zeitstempel, FileHash = SHA256, SourceTable = "DeviceFileEvents"),( GeräteEreignisse | wo SHA256 in (fileHashes) | Projekt Zeitstempel, FileHash = SHA256, SourceTable = "DeviceEvents"),( DeviceImageLoadEvents | wo SHA256 in (fileHashes) | project Timestamp, FileHash = SHA256, SourceTable = "DeviceImageLoadEvents"),( DeviceProcessEvents | wo SHA256 in (fileHashes) | Projekt Zeitstempel, FileHash = SHA256, SourceTable = "DeviceProcessEvents")| Reihenfolge nach Zeitstempel absteigend |
Oberflächeninstanzen des geheimen Blizzard Indikatoren für die Kompromittierung C2s.
let domainList = dynamic(["citactica.com", "icw2016.coachfederation.cz", "hospitalvilleroy.com.br", "vitantgroup.com", "brauche-it.de", "okesense.oketheme.com", "coworkingdeamicis.com", "plagnol-charpentier.fr"]);Gewerkschaft( DnsEvents | where QueryType has_any(domainList) or Name has_any(domainList) | Projekt TimeGenerated, Domain = QueryType, SourceTable = "DnsEvents"),( IdentityQueryEvents | where QueryTarget has_any(domainList) | Projekt Zeitstempel, Bereich = QueryTarget, SourceTable = "IdentityQueryEvents"),( DeviceNetworkEvents | where RemoteUrl has_any(domainList) | Projekt Zeitstempel, Domäne = RemoteUrl, SourceTable = "DeviceNetworkEvents"),( DeviceNetworkInfo | extend DnsAddresses = parse_json(DnsAddresses), ConnectedNetworks = parse_json(ConnectedNetworks) | mv-expand DnsAddresses, ConnectedNetworks | where DnsAddresses has_any(domainList) or ConnectedNetworks.Name has_any(domainList) | Projekt Zeitstempel, Bereich = coalesce(DnsAddresses, ConnectedNetworks.Name), SourceTable = "DeviceNetworkInfo"),( VMConnection | extend RemoteDnsQuestions = parse_json(RemoteDnsQuestions), RemoteDnsCanonicalNames = parse_json(RemoteDnsCanonicalNames) | mv-expand RemoteDnsQuestions, RemoteDnsCanonicalNames | where RemoteDnsQuestions has_any(domainList) or RemoteDnsCanonicalNames has_any(domainList) | Projekt TimeGenerated, Domain = coalesce(RemoteDnsQuestions, RemoteDnsCanonicalNames), SourceTable = "VMConnection"),( W3CIISLog | wo csHost has_any(domainList) oder csReferer has_any(domainList) | Projekt TimeGenerated, Domain = coalesce(csHost, csReferer), SourceTable = "W3CIISLog"),( EmailUrlInfo | where UrlDomain has_any(domainList) | Projekt Zeitstempel, Domäne = UrlDomäne, SourceTable = "EmailUrlInfo"),( UrlClickEvents | where Url has_any(domainList) | Projekt Zeitstempel, Bereich = Url, SourceTable = "UrlClickEvents")| order by ZeitGeneriert desc |
Weitere Suchmöglichkeiten für wahrscheinlich bösartige PowerShell-Befehlsabfragen finden Sie in diesem Repository.
Suchen Sie nach PowerShell-Ausführungsereignissen, die einen Download beinhalten könnten.
// Findet PowerShell-Ausführungsereignisse, die einen Download beinhalten könnten.DeviceProcessEvents| where Zeitstempel > ago(7d)| where FileName in~ ("powershell.exe", "powershell_ise.exe")| wo ProcessCommandLine "Net.WebClient" hatoder ProcessCommandLine hat "DownloadFile"oder ProcessCommandLine hat "Invoke-WebRequest"oder ProcessCommandLine hat "Invoke-Shellcode".oder ProcessCommandLine hat "http"oder ProcessCommandLine hat "IEX"oder ProcessCommandLine hat "Start-BitsTransfer"oder ProcessCommandLine hat "mpcmdrun.exe"| Projekt Zeitstempel, Gerätename, InitiatingProcessFileName, Dateiname, ProcessCommandLine |
Suchen Sie nach kodierten PowerShell-Ausführungsereignissen.
// Verschlüsselte PowerShell erkennenDeviceProcessEvents| wo ProcessCommandLine auf Regex @'(\s+-((?i)encod?e?d?c?o?m?m?a?n?d?|e|en|enc|ec)\s).*([A-Za-z0-9+/]{50,}[=]{0,2})'| extend DecodedCommand = replace(@'\x00','', base64_decode_tostring(extract("[A-Za-z0-9+/]{50,}[=]{0,2}",0 , ProcessCommandLine))) |
Microsoft Sentinel
Suchen Sie nach verschlüsselter PowerShell.
id: f58a7f64-acd3-4cf6-ab6d-be76130cf251name: Verschlüsselte Powershell erkennenBeschreibung: | Diese Abfrage erkennt verschlüsselte Powershell auf der Grundlage der bei der Prozesserstellung übergebenen Parameter. Diese Abfrage funktioniert auch, wenn die ausführbare PowerShell-Datei umbenannt oder manipuliert wurde, da die Erkennung nur auf einer Regex der Startzeichenfolge basiert.erforderlicheDatenKonnektoren:- connectorId: MicrosoftThreatProtectiondataTypes:- GeräteProzessEreignisseTaktik:- AusführungAbfrage: |DeviceProcessEvents| wo ProcessCommandLine auf Regex @'(\s+-((?i)encod?e?d?c?o?m?m?a?n?d?|e|en|enc|ec)\s).*([A-Za-z0-9+/]{50,}[=]{0,2})'| extend DecodedCommand = replace(@'\x00','', base64_decode_tostring(extract("[A-Za-z0-9+/]{50,}[=]{0,2}",0 , ProcessCommandLine))) |
Suchen Sie nach PowerShell-Downloads.
id: c34d1d0e-1cf4-45d0-b628-a2cfde329182Name: PowerShell-DownloadsBeschreibung: |Findet PowerShell-Ausführungsereignisse, die einen Download beinhalten könnten.erforderlicheDatenKonnektoren:- connectorId: MicrosoftThreatProtectiondataTypes:- GeräteProzessEreignisseAbfrage: |DeviceProcessEvents| where Zeitstempel > ago(7d)| where FileName in~ ("powershell.exe", "powershell_ise.exe")| wo ProcessCommandLine "Net.WebClient" hatoder ProcessCommandLine hat "DownloadFile"oder ProcessCommandLine hat "Invoke-WebRequest"oder ProcessCommandLine hat "Invoke-Shellcode".oder ProcessCommandLine hat "http"oder ProcessCommandLine hat "IEX"oder ProcessCommandLine hat "Start-BitsTransfer"oder ProcessCommandLine hat "mpcmdrun.exe"| Projekt Zeitstempel, Gerätename, InitiatingProcessFileName, Dateiname, ProcessCommandLine |
Berichte über Bedrohungsdaten
Microsoft-Kunden können die folgenden Berichte in Microsoft-Produkten verwenden, um die aktuellsten Informationen über die in diesem Blog behandelten Bedrohungsakteure, bösartigen Aktivitäten und Techniken zu erhalten. Diese Berichte bieten Informationen, Schutzinformationen und empfohlene Maßnahmen zur Verhinderung, Eindämmung oder Reaktion auf damit verbundene Bedrohungen, die in Kundenumgebungen gefunden wurden. Microsoft Security Copilot-Kunden können auch die Microsoft Security Copilot-Integration in Microsoft Defender Threat Intelligence nutzen, entweder im eigenständigen Security Copilot-Portal oder in der eingebetteten Erfahrung im Microsoft Defender-Portal, um weitere Informationen über diesen Bedrohungsakteur zu erhalten.
Microsoft Defender Threat Intelligence
- Secret Blizzard using peer and cybercriminal infrastructure to target devices in Ukraine
| Indicator | Type | Association | Last seen |
| hxxps://citactica[.]com/wp-content/wp-login.php | C2 domain Survey Tool and Amadey dropper | Secret Blizzard | April 2024 |
| a56703e72f79b4ec72b97c53fbd8426eb6515e3645cb02e7fc99aaaea515273e | Tavdig payload (rastls.dll) | Secret Blizzard | April 2024 |
| hxxps://icw2016.coachfederation[.]cz/wp-includes/images/wp/ | Tavdig C2 domain | Secret Blizzard | April 2024 |
| hxxps://hospitalvilleroy[.]com[.]br/wp-includes/fonts/icons/ | Tavdig C2 domain | Secret Blizzard | April 2024 |
| f9ebf6aeb3f0fb0c29bd8f3d652476cd1fe8bd9a0c11cb15c43de33bbce0bf68 | Executable susceptible to DLL-sideload (kavp.exe) | Secret Blizzard | Jan-April 2024 |
| d26ac1a90f3b3f9e11491f789e55abe5b7d360df77c91a597e775f6db49902ea | Survey tool (ddra.exe) | Secret Blizzard | April 2024 |
| d7e528b55b2eeb6786509664a70f641f14d0c13ceec539737eef26857355536e | PowerShell dropper for Amadey bot (nnas.ps1) | Secret Blizzard | March 2024 |
| hxxps://brauche-it[.]de/wp-includes/blocks/blocksu9ky0o | KazuarV2 C2 | Secret Blizzard | June 2024 |
| hxxps://okesense.oketheme[.]com/wp-includes/sodium_compat/sodium_compatT4FF1a | KazuarV2 C2 | Secret Blizzard | June 2024 |
| hxxps://coworkingdeamicis[.]com/wp-includes/Text/TextYpRm9l | KazuarV2 C2 | Secret Blizzard | June 2024 |
| hxxps://plagnol-charpentier[.]fr/wp-includes/random_compat/random_compata0zW7Q | KazuarV2 C2 | Secret Blizzard | June 2024 |
| dfdc0318f3dc5ba3f960b1f338b638cd9645856d2a2af8aa33ea0f9979a9ca4c | Amadey bot (av.exe/ dctooux.exe) | Storm-1919 | March 2024 |
| ced8891ea8d87005de989f25f0f94634d1fc70ebb37302cf21aa0c0b0e13350f | Amadey bot (dctooux.exe) | Storm-1919 | March 2024 |
| ee8ef58f3bf0dab066eb608cb0f167b1585e166bf4730858961c192860ceffe9 | MASM32 utility (procmap.exe) | Storm-1919 | March 2024 |
| hxxp://vitantgroup[.]com/xmlrpc.php | Amadey C2 | Storm-1919 | March 2024 |
Indicators of compromise
References
- https://securelist.com/the-epic-turla-operation/65545/
- https://www.darkreading.com/endpoint-security/upgraded-kazuar-backdoor-offers-stealthy-power
- https://cyble.com/blog/the-rise-of-amadey-bot-a-growing-concern-for-internet-security/
- https://www.welivesecurity.com/2020/03/12/tracking-turla-new-backdoor-armenian-watering-holes/
- https://www.welivesecurity.com/2018/05/22/turla-mosquito-shift-towards-generic-tools/
- https://www.welivesecurity.com/2018/01/09/turlas-backdoor-laced-flash-player-installer/
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-129a
- https://attack.mitre.org/groups/G0010/
- https://www.splunk.com/en_us/blog/security/amadey-threat-analysis-and-detections.html
- https://blog.cloudflare.com/disrupting-flyingyeti-campaign-targeting-ukraine/
- https://socprime.com/blog/uac-0149-attack-detection-hackers-launch-a-targeted-attack-against-the-armed-forces-of-ukraine-as-cert-ua-reports/
- https://cert.gov.ua/article/6278620
- https://www.theregister.com/2024/05/31/crowdforce_flyingyeti_ukraine/
- https://www.zdnet.com/article/malware-authors-are-still-abusing-the-heavens-gate-technique/
Learn more
For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: https://aka.ms/threatintelblog.
To get notified about new publications and to join discussions on social media, follow us on LinkedIn at https://www.linkedin.com/showcase/microsoft-threat-intelligence, and on X (formerly Twitter) at https://twitter.com/MsftSecIntel.
To hear stories and insights from the Microsoft Threat Intelligence community about the ever-evolving threat landscape, listen to the Microsoft Threat Intelligence podcast: https://thecyberwire.com/podcasts/microsoft-threat-intelligence.
