Hackers are abusing legitimate Windows utilities to target Thai law enforcement with a novel malware that is a mix of sophistication and amateurishness.
Unbekannte Hacker haben es auf Personen abgesehen, die mit der thailändischen Regierung in Verbindung stehen, und verwenden eine neue und unhandliche Hintertür namens "Yokai", die möglicherweise nach einer Art Geist aus dem Videospiel Phasmophobia oder nach Geistern aus der japanischen Folklore benannt ist.
Forscher von Netskope stießen kürzlich auf zwei als .pdf- und .docx-Dateien getarnte Verknüpfungsdateien (LNK), die unauffällig so benannt waren, als gehörten sie zu offiziellen Geschäfte der US-Regierung mit Thailand. Die Angriffskette Die mit diesen gefälschten Dokumenten verknüpften Angreifer nutzten auf geschickte Weise legitime Windows-Binärdateien, um die bisher unbekannte Hintertür auszuliefern, bei der es sich offenbar um ein eilig entwickeltes Programm zur Ausführung von Shell-Befehlen handelt. Es birgt das Risiko von unbeabsichtigten Systemabstürzen, so die Forscher.
Der Geist in der Maschine: Phishing-Angriff mit US-Thema als Köder
In thailändischer Sprache lauten die Köderdokumente "United States Department of Justice.pdf" und "Urgently, United States authorities ask for international cooperation in criminal matters.docx". Sie beziehen sich insbesondere auf Woravit "Kim" Mektrakarn, einen ehemaligen Fabrikbesitzer in Kalifornien, der mit dem Verschwinden und dem mutmaßlichen Mord an einem Mitarbeiter im Jahr 1996 in Verbindung gebracht wird. Mektrakarn wurde nie festgenommen und ist vermutlich nach Bangkok geflohen.
"Die Köder lassen auch vermuten, dass sie an die thailändische Polizei gerichtet sind", bemerkt Nikhil Hegde, Senior Engineer bei Netskope. "In Anbetracht der Fähigkeiten der Backdoor können wir spekulieren, dass das Motiv des Angreifers darin bestand, Zugang zu den Systemen der thailändischen Polizei zu erhalten."
Wie bei jedem anderen Phishing-Angriff würde das Öffnen eines dieser Dokumente das Opfer dazu bringen, Malware herunterzuladen. Aber der Weg von A nach B war nicht so banal, wie es vielleicht den Anschein hat.
Missbrauch rechtmäßiger Windows-Dienstprogramme
Zu Beginn ihrer Angriffskette nutzten die Angreifer "esentutl", ein legitimes Windows-Befehlszeilentool zur Verwaltung von Extensible Storage Engine (ESE)-Datenbanken. Insbesondere missbrauchten sie dessen Fähigkeit, auf alternative Datenströme (ADS) zuzugreifen und in diese zu schreiben.
Im New Technology File System (NTFS) von Windows enthalten Dateien in der Regel mehr als nur ihren primären Inhalt - ihren Haupt-"Stream". Ein Bild- oder Textdokument enthält beispielsweise auch Metadaten - sogar versteckte Daten -, die in der normalen Auflistung der Datei nicht sichtbar sind, weil sie für den Benutzer nicht so wichtig sind. Ein nicht überprüfter Kanal zum Anhängen versteckter Daten an eine scheinbar harmlose Datei ist für einen Cyberangreifer jedoch ein Luxus.
"ADS wird von Angreifern häufig dazu verwendet, bösartige Nutzdaten in scheinbar harmlosen Dateien zu verstecken", erklärt Hegde. "Wenn Daten in einem ADS versteckt sind, ändern sie nicht die sichtbare Größe oder die Eigenschaften der primären Datei. Dadurch können Angreifer einfache Dateiscanner umgehen, die nur den primären Datenstrom einer Datei untersuchen.
Das Öffnen der mit dieser Kampagne verbundenen Verknüpfungsdateien würde einen versteckten Prozess auslösen, in dessen Verlauf Esentutl verwendet würde, um aus zwei alternativen Datenströmen gefälschte Regierungsdokumente und einen bösartigen Dropper zu ziehen. Der Dropper würde eine legitime Kopie des iTop Data Recovery-Tools mit sich führen, das als Gateway für Seitenladen die Yokai-Hintertür.
Das Innere der Yokai-Backdoor-Malware
Beim Eindringen in ein neues System meldet sich Yokai bei seiner Command-and-Control-Basis (C2) an, richtet einen verschlüsselten Kommunikationskanal ein und wartet dann auf seine Befehle. Yokai kann normale Shell-Befehle ausführen, um Daten zu stehlen, zusätzliche Malware herunterzuladen usw.
"Yokai enthält einige ausgeklügelte Elemente", sagt Hegde. Zum Beispiel ist die C2-Kommunikation, wenn sie entschlüsselt ist, sehr strukturiert". In anderer Hinsicht erweist sich Yokai jedoch als grobschlächtig.
Wenn es mit Administratorrechten ausgeführt wird, erstellt Yokai eine zweite Kopie von sich selbst, und diese Kopie erstellt eine dritte Kopie, und so weiter. Um zu verhindern, dass Yokai mehrfach auf demselben Rechner ausgeführt wird, prüft er das Vorhandensein einer Mutex-Datei - ist die Datei vorhanden, beendet er sich selbst, ist sie nicht vorhanden, erstellt er sie. Diese Prüfung erfolgt nach dem Schritt der Selbstreplikation, allerdings erst, nachdem die Malware begonnen hat, sich unkontrolliert zu vermehren. "Dies führt zu sich wiederholenden, schnellen Doppelausführungen, die sofort beendet werden, wenn die Mutex gefunden wird. Dieses Verhalten wäre für ein EDR deutlich sichtbar, was den Stealth-Aspekt der Backdoor verringert", sagt Hegde.
Even a regular user might notice the strange effects to their machine. “The rapid spawning creates a noticeable slowdown. If the system is already under heavy load, process creation and execution might already be slower due to resource contention, further exacerbating the system’s performance issues,” he says.
In all, Hegde adds, “This juxtaposition of sophistication and amateurism stands out the most to me, almost as if two different individuals were involved in its development. Given the version strings found in the backdoor and its variants, it is likely still being continuously developed.”
