Cybersecurity-Forscher haben eine aktive Kampagne identifiziert, die Steuerangst nutzt, um Geräte in Indien mit einer Hintertür in mehreren Phasen zu infizieren, offenbar für Spionagezwecke. Die Angreifer senden E-Mails, die Berichte der Steuerabteilung über angebliche Strafen simulieren und, wenn das Opfer die beigefügte Datei öffnet, beginnt eine Kette von Engagement, um dauerhaften Zugriff zu erhalten und sensible Informationen zu extrahieren.
Die vom eSentire-Team veröffentlichte technische Aufschlüsselung zeigt, dass der Angriff mit einer ZIP-Datei beginnt, die nur eine sichtbare ausführbare "Inspection Document Review.exe" zeigt. Diese ausführbar ist mit einer Sideloading-Technik, um eine bösartige DLL im gleichen Paket enthalten zu laden. Diese DLL enthält Routinen, um Analyse und Debugging-Umgebungen zu erkennen, und kontaktieren Sie einen externen Server, um die nächste Stufe des Angriffs herunterladen, die Shellcode mit Privileg-Hebefähigkeiten umfasst.
Um Privilegien zu skalieren, verwendet der Versender eine COM-basierte Technik, die Benutzerkontokontrolle (UAC)-Anmerkung vermeidet und als versteckte Maßnahme seine eigene Prozessstruktur modifiziert - den sogenannten Process Environment Block ( BEP) - scheint der legitime Prozess von Windows "explor.exe" zu sein. Dadurch werden die Möglichkeiten der Erfassung durch grundlegende Überwachungssteuerungen reduziert.
Der Befehls- und Kontrollserver erholt einen Inno Setup-Installer namens "180.exe" und ist in einer verdächtigen Domäne untergebracht. Dieser Installer passt sein Verhalten entsprechend der Anwesenheit des Avast-Prozesses ("AvastUI.exe") an; wenn Sie das Antivirenprogramm erkennen, automatisiert die Malware Mausbewegung und Interaktion mit der Avast-Schnittstelle, um bestimmte Dateien in die Ausschlussliste hinzuzufügen, anstatt zu versuchen, die Schutzmaschine zu deaktivieren. Dieser Trick ermöglicht böswillige Komponenten, um die Erkennung zu vermeiden, ohne auf offensichtliche Änderungen der Sicherheitsprodukteinstellungen aufmerksam zu machen.
Einer der Binäre, die als ausgeschlossen gekennzeichnet ist, ist ein Dienstprogramm namens "Setup.exe", das auf der Festplatte ein ausführbares "mysetup.exe" schreibt. Diese binäre wird als SyncFuture TSM identifiziert, ein kommerzielles Remote-Management-Tool von einem chinesischen Unternehmen entwickelt. In diesem Szenario verwenden Angreifer ein legitimes Remote-Management-Produkt, um die festgelegten Endpunkte abzudecken: Erfassung der Benutzeraktivität, Verwaltung von Remote-Aufgaben und Exfilter-Daten mit großem Ermessen.
Gleichzeitig, die Anwesenheit einer DLL in Verbindung mit der Blackmoon Familie (auch bekannt als KRBanker), ein Bank Trojaner, die transformiert wurde und in Kampagnen gegen Unternehmen in Südkorea, den Vereinigten Staaten und Kanada. Blackmoon ist ein Beispiel dafür, wie Malware-Familien, die ursprünglich auf Finanzbetrug ausgerichtet sind, zu umfangreicheren und flexiblen Fähigkeiten entwickelt werden, die für Spionage geeignet sind.
Nach der Ausführung des Installers und dem Start des schädlichen RMM-Agenten setzt die Kampagne auch eine Reihe von Skripten und Utilityern ein, die die Beharrlichkeit erleichtern: Stapeldateien, die benutzerdefinierte Verzeichnisse erstellen und Berechtigungen anpassen, Skripte, die Berechtigungen auf Benutzerordner manipulieren und eine Reinigung, die versucht, Drucke zu löschen. Eine weitere als "MANC.exe" aufgeführte ausführbare Handlung fungiert als Orchestermitglied, als Anhebung von Diensten und als detaillierte Aufzeichnung der Aktivität. All dies zielt darauf ab, den Angreifern eine körnige Kontrolle und einen robusten Kanal zur Aufrechterhaltung eines langfristigen Zugangs zur Verfügung zu stellen.
Die Auswirkungen dieser technischen Kombination sind klar: durch Mischen von Anti-Analyse-Techniken, Privilegierung, DLL Sideloading, kommerzielle Software Missbrauch und Sicherheitslösung Vermeidung Taktik, Schauspieler zeigen sowohl technische Kapazität und Absicht, anhaltende Spionage zu erhalten. Darüber hinaus erschwert die Verwendung von legitimen Werkzeugen im Rahmen der Kette die Erfassung und Zuschreibung, da Verkehr und Prozesse mit von Organisationen akzeptierten administrativen Operationen verwechselt werden können.
Um kontextualisieren zu können, ist Blackmoon kein neuer Schauspieler; seine Entwicklung wird von Firmen und Industrieanalysen dokumentiert ( Broadcom, Einheit42, Rapid7) und die in dieser Operation beobachteten Taktiken - gerichtete Phishing, Ausbeutung des Vertrauens in legitime Werkzeuge und Antiviren-Evasion - passen zu Skalen-Geheimdienst-Kampagnen.
Die Kampagne, die die Nutzer in Indien betroffen hat, wurde von eSentire dokumentiert; sie beschreiben, wie die Infrastruktur- und Entwurfsentscheidungen der Angriffskette auf eine koordinierte und gut vorbereitete Operation weisen, obwohl es jetzt keine öffentliche Zuordnung zu einer bestimmten Gruppe gibt ( eSentire Bericht)
Aus einer Verteidigungsperspektive unterstreicht die Bedrohung, wie gefährlich es ist, sich auf die offensichtliche Legitimität einer Akte oder den angeblichen institutionellen Ursprung einer Post zu verlassen. Die Erhaltung digitaler Hygienepraktiken wie die Kontrolle der Steuerkommunikation auf offiziellen Kanälen, die Vermeidung von Öffnungsansätzen zweifelhafter Herkunft und die Überprüfung der digitalen Signatur von Installateuren kann die anfängliche Eingabe des Angriffs verhindern. Auf organisatorischer Ebene erhöhen Maßnahmen wie die Verschärfung der Anwendungskontrolle, die Überwachung von Änderungen in Sicherheitsausschlusslisten, die Segmentierung von administrativen Privilegien und die Bereitstellung von EDR-Lösungen mit der Fähigkeit, Sideloading und PEB-Handling-Techniken zu erkennen, die Widerstandsfähigkeit erheblich.
Es ist auch wichtig, dass Sicherheitsteams jede automatisierte Interaktion mit der Schnittstelle eines Antivirus - zum Beispiel ungewöhnliche Cursor-Bewegungen oder jüngste Änderungen der Ausschlussregeln - untersuchen und aus bekannten bösartigen Domänen oder Infrastrukturen ausführbare oder Quarantäne blockieren. Für diejenigen, die Windows-Umgebungen verwalten, überprüfen UAC-Konfigurationen und steuern die Verwendung von RMM-Tools von Drittanbietern kann die Missbrauchsoberfläche reduzieren.
Die Wiederverwendung von legitimen Software für schädliche Zwecke ist nicht neu, aber es gewinnt Relevanz: es ermöglicht Angreifern, auf das Vertrauen zu Kapitalisieren, dass Manager in kommerziellen Diensten und gleichzeitig macht sofortige Reaktion schwierig. Über Patching und Aktualisierung hinaus geht die Verteidigung weiter, um technische Kontrollen, Überprüfungsverfahren und Benutzerschulung zu kombinieren, um Lures als betrügerische Steuerhinweise zu erkennen.
Wenn Sie in die technischen Details und die gemeldeten Verpflichtungsindikatoren eingehen möchten, bieten die Branchenanalysen nützliches und verifiziertes Material: Neben der eSentire-Studie können Sie Blackmoons Geschichte und technische Factsheets aus Broadcom, Berichte von Einheit42 und Forschung Rapid7. Für diejenigen, die bestimmte Proben überprüfen müssen, gibt es öffentliche Einträge in Analyse-Repositorien wie VirusTotal die einen Teil der erfassten Komponenten dokumentieren.
In einer Welt, in der Angreifer Social Engineering und Missbrauch von legitimen Werkzeugen kombinieren, ist die beste Verteidigung eine Mischung aus informierter Skepsis, angemessenen technischen Kontrollen und Zusammenarbeit zwischen Sicherheitsteams und Lieferanten, um Indikatoren zu teilen und schnell neue Varianten zu mildern.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...