In einer kürzlich von der MalBeacon Cyberintelligence-Firma dokumentierten Operation verwendet die Ransomware-Gruppe namens Velvet Temper (auch als DEV-0504 zurückverfolgt) eine Mischung aus sozialer Täuschung und legitimen Windows-Tools, um schädliche Belastungen auf einem Zielnetzwerk einzuführen und auszuführen. Die Intrusion kombinierte eine Maldumping-Kampagne mit einer Social Engineering-Technik, die als "ClickFix" bekannt ist, den Missbrauch von System nativen Diensten und Speicherladern, die den Angreifern erlaubt, eine erweiterte Hintertür zu erreichen, ohne dass eine traditionelle ausführbare Datei erforderlich ist.
Die ClickFix-Technik basiert darauf, den Benutzer zu täuschen, um im Run of Windows (Win + R) einen klaren Befehl zu stecken, der harmlos erscheint, aber eine Kette von Prozessen auslöst. In MalBeacons Beobachtung begann die Gerste von schädlichen Anzeigen und einem CAPTCHA-Typ Bildschirm, der das Opfer überredete, um die Aktion durchzuführen. Diese einfache Geste aktiviert geschachtelte Ketten von cmd.exe, die wiederum profitierte als Finger. exe, um die ersten "Sänger" zu erholen. Es ist ein klares Beispiel dafür, wie Angreifer direkte bösartige Anhaftungen vermeiden und stattdessen menschliche Interaktion und legitime Programme des Systems ausnutzen. Weitere Informationen zur Analyse finden Sie in MalBeacons Anmerkung: Malz.
Einmal im Inneren, die Betreiber durchgeführt manuelle Aktivität (Hands-on-keyboard): Erkennung von Active Directory, Entdeckung von Hosts und Kartierung der Umwelt. Sie nutzten PowerShell, um zusätzliche Befehle herunterzuladen und liefen ein Skript, um Anmeldeinformationen zu extrahieren, die vom Chrome-Browser gespeichert wurden, ein Verhalten, das gut bekannte Anmeldeinformationen Diebstahl-Techniken von Browsern passt ( MITRE ATT & CK T1555.002) Ein Teil der ersten Malware wurde in einer komprimierten Datei als PDF verkleidet verteilt, und in späteren Stadien die Gruppe kompiliert . NET-Komponenten in temporären Ordnern mit csc.exe und implementierten Modulen in Python, um Persistenz in C:\ ProgramData zu etablieren.
In der Entwicklungsphase nutzten die Angreifer DonutLoader, um Code in Erinnerung zu führen und schließlich CastleRAT, einen Remote-Access-Trojan, der oft mit einem Ökosystem von Lastern wie CastleLoader und Familien von Info-Stealern verbunden ist. Die Verwendung von Speicherladern wie Donut ermöglicht es Ihnen, zu laufen. NET-Binaries, ohne offensichtliche Audioausführbare zu schaffen, die traditionelle Erkennung schwierig machen; das Donut-Projekt, das diese Technik implementiert, wird in GitHub öffentlich dokumentiert: Donut (GitHub).
MalBeacon nahm diese Kampagne in einer simulierten Umgebung auf, die die Infrastruktur einer gemeinnützigen amerikanischen Organisation mit mehr als 3.000 Endpunkten und etwa 2.500 Nutzern über einen Zeitraum von 12 Tagen zwischen dem 3. und 16. Februar replizierte. Obwohl Velvet Temper eine lange Geschichte als Mitglied der doppelten Erpressungskampagnen hat und in den letzten Jahren mit dem Einsatz von bekannten Ransomware-Familien verbunden ist, haben die Betreiber in dieser speziellen Übung die Ransomware Termite nicht detoniert, die manchmal mit ihnen verbunden ist. Diese Abwesenheit betont, dass die Intrusionsphase sowohl für den Informationsdiebstahl als auch für die Vorbereitung einer nachfolgenden Ausführung genutzt werden kann: Angreifer können ihr Ziel nach der Möglichkeit und Antwort des Verteidigers modulieren.
Das beobachtete Verhalten zeigt zwei Tendenzen, die wir in den letzten Anschlägen oft sehen: einerseits den Missbrauch von nativen Systemauslastungen und lokalen Compilern (was die Gemeinschaft "Leben-off-the-land" nennt) und andererseits die Verwendung von sozialen Täuschungen, die das Opfer bitten, einfache, aber gefährliche manuelle Handlungen durchzuführen. MITRE bringt viele dieser Techniken unter Kategorien zusammen, wie die Verwendung von Befehlsdolmetschern und der Missbrauch legitimer Binäre: T1059 - Kommando und Schreiben Dolmetscher und T1218 - System Binary Proxy Ausführung.
Darüber hinaus die Praxis der Einbettung . NET-Komponenten, die zeitweilig kompilierte und laufende Lasten im Speicher kompiliert, kompiliert die Erkennung durch Signaturen und zwingt Sicherheitsteams, sich mehr auf Verhaltenstelemetrie und Anomalie-Signale zu verlassen (z.B. csc.exe, die ungewöhnliche Baugruppen in temporären Verzeichnissen, wiederholte Ausführungen von PowerShell mit Ossifikation oder Prozesse, die Nutzlasten von unreputable PIs herunterladen). Öffentliche Sicherheitsbehörden und Agenturen empfehlen, die Verteidigung mit Maßnahmen wie Netzwerksegmentierung, strenge Umsetzungspolitiken, Überwachung kritischer Prozesse und Sensibilisierungsprogramme zu stärken, um Aktionen wie Schlagbefehle in der Run Table zu vermeiden; CISAs Ransomware und defensive Richtlinien bieten praktische Anleitung: CISA - Ransomware Anleitung.
Schließlich ist es kein isolierter Fall, dass Gruppen von Ransomware und Affiliate den ClickFix-Trick annehmen: Industrieberichte haben andere Bands dokumentiert, die Varianten dieser Social Engineering verwenden, um in Unternehmensnetzwerke zu gelangen. Ein jüngstes Beispiel, das eine Kampagne ähnlich der Interlock-Band verknüpfte, wurde von Sekoia berichtet, was zeigt, wie offensichtlich einfache Techniken Kontrollen vermeiden können, wenn der menschliche Faktor nicht vorbereitet ist: Sekoia - Blog.
Wenn es eine klare Lektion ist, dass die Sicherheit nicht mehr nur von der Blockierung von schädlichen Dateien abhängt: die Kombination von menschlichen Signalen, gültigen Systemwerkzeugen und Speicherladern erfordert eine tiefgreifende Verteidigungsstrategie für Technologie, Prozesse und Schulungen. Organisationen sollten verhaltensbasierte Erkennung, Schutz und Audit privilegierten Zugriff priorisieren und Benutzer erziehen, keine Befehle auszuführen, die von nicht verifizierten Kanälen empfangen wurden. Für Profis, die Erkennungen abstimmen wollen, achten Sie auf Downloads aus verdächtigen Richtungen, die Entstehung von unerwarteten . NET-Compilations und Persistenzen, die an ungewöhnlichen Orten wie C:\ ProgramData erstellt wurden, sind in der Regel ein guter Ausgangspunkt.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...