Vor wenigen Monaten tauchte in der Computerkriminalität ein neuer Schauspieler namens LeakNet auf, und seine technische Entwicklung erfordert bereits Aufmerksamkeit: Er hat begonnen, eine sehr effektive Social Engineering-Taktik mit einem modernen "Leving off the land" Ansatz zu kombinieren, der legitime Software nutzt, um schädlichen Code in Erinnerung zu führen. Das Ergebnis ist ein schwer zu erkennender Eingabevektor mit wenigen Festplattendrucken, genau das, was die Ransomware-Gruppen suchen, die Auswirkungen maximieren und Rückverfolgbarkeit minimieren wollen.
Die Eingabetür LeakNet verwendet wird als ClickFix bekannt, eine benutzerorientierte Täuschung, die die Ausführung von Befehlen oder Dateien durch falsche Fenster oder Mitteilungen, die scheinen ein technisches Problem zu lösen. Sobald dieser erste Schritt erreicht wurde, starten die Angreifer nicht ihr eigenes Ladegerät mit zweifelhafter Signatur: Sie installieren und verwenden die legitime Deno-Laufzeit - die moderne Umgebung für JavaScript und TypeScript - um die schädliche Last direkt in den Systemspeicher zu decodieren und auszuführen. Diese Strategie, die von den Forschern von ReliaQuest beschrieben wird, ist ein klares Beispiel dafür, was sie eine Kampagne "Bringing your own running" (BYOR) nennen, bei der ein legitimer Dolmetscher dazu gebracht wird, feindseliger Code auszuführen, ohne die Aufmerksamkeit auf Sperrlisten oder Filter zu lenken, die verdächtige Binaries suchen. Weitere Informationen zur technischen Analyse finden Sie im ReliaQuest-Bericht: ReliaQuest: ClickFix, Deno und LeakNet Bedrohung.
Warum Deno benutzen? Weil es eine signierte und weithin anerkannte ausführbar in Entwicklungsumgebungen ist, die die Erkennung schwierig macht, wenn es auf einer Maschine erscheint, die nicht viel weniger bereit ist, sie als schädlich zu identifizieren. Durch die Verwendung von Deno können LeakNet-Operatoren bösartige JavaScript / TypeScript ausführen, die einen Fingerabdruck der Maschine macht, erzeugt eine einzigartige Opferkennung und kontaktiert einen Befehl und Steuerserver, um spätere Stadien herunterzuladen. Der Speichercode unterhält eine Umfrageverbindung zum Empfang von Aufträgen, die eine dauerhafte Wartung erleichtert, ohne offensichtliche Artefakte auf der Festplatte zu verlassen.
In der Post-Betriebsphase verwendet LeakNet konventionelle aber effektive Techniken: Laden von DLL mit Sideloading (z.B. unter Ausnutzung von jli.dll durch Java auf Strecken wie C:\\ ProgramData\\ USOShared), Erkennung von Anmeldeinformationen mit Systemwerkzeugen wieklinisch, seitliche Bewegung mit PsExec und Exfiltration und Datenspeicher, die Cloud-Dienste wie Amazon S3 missbrauchen. Microsoft hält offizielle Dokumentation zu Diensten und Befehlen, die in diesen Prozessen verwendet werden; zum Beispiel kann das Sysinternals PSExec-Tool bei Die PsExec-Seite, die Verwaltung von Kerberos Tickets vonklinischwird dokumentiert Microsoft Referenz, und die Such- und Ladeprinzipien von DLL sind in die Windows-Dokumentation. Auf der Cloud-Seite wird Amazon S3 häufig von Angreifern verwendet, um Lasten zu speichern und zu verteilen; der offizielle S3 Guide ist in Amazon S3 Dokumentation.
Was macht diese Angriffskette beunruhigend? Hauptsächlich zwei Dinge: die Kombination von Social Engineering mit Gedächtnisausführung und die Verwendung von legitimen Werkzeugen. Speicherausführung reduziert die Forensik auf Festplatte und macht viele Signatur-basierte Lösungen nicht Feueralarm. Die Verwendung einer offiziellen Laufzeit wie Deno bedeutet, dass "unzugelassene" binäre Sperrsteuerungen verspottet werden können. Darüber hinaus, wenn der Angreifer auf Systemprogramme setzt, um sich seitlich zu bewegen oder Listen-Anmeldeinformationen, kann die Aktivität zwischen legitimen administrativen Aufgaben tarnen.
Forscher, die LeakNet verfolgt haben, weisen darauf hin, dass die Gruppe seit Ende 2024 eine relativ enthaltene Tätigkeit mit durchschnittlich etwa einigen Opfern pro Monat hatte, obwohl die Einführung dieser neuen Methoden ihr Wachstum beschleunigen könnte. Die Repetitivität der Angriffskette spielt jedoch für Verteidiger: Konsistente Muster verlassen bestimmte Punkte, an denen Anomalien überwacht und detektiert werden sollen.
Warnzeichen zu überwachen umfassen die Ausführung von Deno in Teams, in denen Entwicklungsaufgaben nicht ausgeführt werden, ausländische Invokation mit Browser und Befehlsausführung (die manchmal alsNicht zutreffendoder ungewöhnliche Hinrichtungen von Browsing-Prozessen), abnormale Verwendung von PsExec, unerwarteten ausgehenden Verkehr zu S3 Buckets und die Anwesenheit von DLL geladen von atypischen Orten wie ProgramData. Diese Tracks sind nützliche Hinweise für Früherkennung und Antwort.
Aus praktischer Sicht sind die Minderungspraktiken nicht neu, aber sie müssen mit Disziplin angewendet werden: die Verwendung von administrativen Instrumenten beschränken und überwachen, die Ausführung von Binaren nur auf genehmigtes Inventar beschränken, Listen zugelassener Anwendungen anwenden, soweit möglich und ausgehende Verbindungen zu Cloud-Diensten von Arbeitsplätzen analysieren. Es ist auch der Schlüssel, Mitarbeiter zu erziehen, keine Verknüpfungen oder Befehle von verdächtigen auftauchenden Fenstern auszuführen, weil ClickFix genau auf die "schnelle Fixierung" Reaktion des Benutzers speist.
Die Sicherheitsgemeinschaft veröffentlicht heute Anleitungen und Werkzeuge, um solche Angriffe zu erkennen und zu mildern. Indikatoren und Muster, die von Forschern gemeldet werden, Prozess- und Netzwerktelemetrie beibehalten und Alarme auf anormale Verhaltensweisen einrichten (z.B. Deno außerhalb von Entwicklungsumgebungen oder ungewöhnlichen Verkehr zu S3), sind konkrete Schritte, die einen Unterschied machen können. Für diejenigen, die die ursprüngliche Analyse der Angriffskette vertiefen wollen, bietet der ReliaQuest-Bericht einen guten Ausgangspunkt: technisches Konto von ReliaQuest, und um die Laufzeit der Angreifer zu verstehen, erklärt Denos offizielle Seite, wie die Umgebung funktioniert: Deno - Offizielle Seite.
Kurz gesagt, LeakNet hat nichts radikal Neues erfunden, aber es hat aktuelle Taktiken effizient aufgebaut: Missbrauch einer legitimen Laufzeit für die Gedächtnisausführung, gerichtete Social Engineering- und Post-Exploitationsbewegungen basierend auf den Diensten des Systems selbst und Cloud-Dienste. Diese Kombination erfordert, dass Sicherheitsteams nicht nur Unterschriften blockieren, sondern auch Verhalten und Kontext beobachten und dass Organisationen grundlegende Maßnahmen der digitalen Hygiene und Weiterbildung für das Personal aufrecht erhalten. Die Bedrohung ist überschaubar, wenn diese Punkte vorrangig behandelt werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...