GlassWorm Entfesselt: Solana Dead Drops treiben Multi-Stage RAT und umfassende Krypto-Exfiltration an

Blog Allgemeine Nachrichten Alle Autoren Alle Tags
Der Inhalt dieser Seite ist leider nicht in der von Ihnen gewählten Sprache verfügbar
Alex Vance

GlassWorm Entfesselt: Solana Dead Drops treiben Multi-Stage RAT und umfassende Krypto-Exfiltration an

Cybersicherheitsforscher haben kürzlich eine signifikante Weiterentwicklung der laufenden GlassWorm-Kampagne festgestellt, die ein ausgeklügeltes, mehrstufiges Framework zur umfassenden Datenexfiltration und für anhaltenden Fernzugriff offenbart. Diese neueste Iteration ist besonders bemerkenswert für ihren innovativen Einsatz von Solana-Blockchain-'Dead Drops' für Command-and-Control (C2)-Kommunikation, wodurch die Widerstandsfähigkeit und Tarnung ihrer Operationen erheblich verbessert werden. Die Kampagne zielt auf ein breites Spektrum sensibler Benutzerdaten ab, darunter Browser-Anmeldeinformationen, Sitzungstoken und Kryptowährungs-Assets, und setzt dabei eine bösartige Google Chrome-Erweiterung ein, die sich als 'Offline-Version von Google Docs' tarnt.

Der Solana Dead Drop Mechanismus: Eine neue Grenze in der C2-Kommunikation

Die Umstellung auf Solana Dead Drops stellt einen strategischen Fortschritt in der operativen Sicherheit von GlassWorm dar. Im Gegensatz zu herkömmlichen C2-Servern, die identifiziert und blockiert werden können, nutzen Solana Dead Drops die dezentrale und unveränderliche Natur der Blockchain-Technologie. Bedrohungsakteure initiieren scheinbar harmlose Transaktionen mit Nullwert auf der Solana-Blockchain und betten verschlüsselte C2-Anweisungen oder Datenfragmente in die Metadaten oder Memo-Felder der Transaktion ein. Diese Transaktionen fungieren als 'Dead Drops', die für jeden GlassWorm-infizierten Endpunkt zugänglich sind, der so konfiguriert ist, dass er bestimmte öffentliche Schlüssel oder Transaktionsmuster überwacht. Diese Methode bietet mehrere entscheidende Vorteile:

  • Erhöhte Widerstandsfähigkeit: Die C2-Infrastruktur ist über das gesamte Solana-Netzwerk verteilt, was ein Abschalten praktisch unmöglich macht.
  • Verschleierte Kommunikation: Der C2-Verkehr vermischt sich mit legitimen Blockchain-Transaktionen, was die Erkennung durch traditionelle Netzwerksicherheitstools extrem erschwert.
  • Anonymität: Die Rückverfolgung der Herkunft von C2-Befehlen zum Bedrohungsakteur wird aufgrund der pseudonymen Natur von Blockchain-Adressen erheblich erschwert.

Dieser innovative Ansatz demonstriert ein ausgeklügeltes Verständnis der dezentralen Ledger-Technologie (DLT) durch die GlassWorm-Betreiber und setzt einen neuen Maßstab für versteckte C2-Kanäle.

Die mehrstufige Infektionskette und RAT-Funktionen

Die GlassWorm-Kampagne verwendet einen mehrstufigen Infektionsprozess, der für eine heimliche Bereitstellung und dauerhafte Kompromittierung ausgelegt ist:

  1. Initialer Zugriff: Während spezifische Initial Access Broker (IABs) variieren, umfassen gängige Vektoren ausgeklügelte Phishing-Kampagnen, Drive-by-Downloads oder die Ausnutzung bekannter Schwachstellen.
  2. Loader/Dropper-Phase: Nach erfolgreicher erster Kompromittierung wird ein leichter Loader bereitgestellt. Die Hauptfunktion dieser Komponente besteht darin, Persistenz zu etablieren und nachfolgende Stufen des Malware-Frameworks von den Solana Dead Drops herunterzuladen.
  3. Bereitstellung des Remote Access Trojan (RAT): Der Kern des GlassWorm-Frameworks ist ein leistungsstarker RAT, der Bedrohungsakteuren umfassende Kontrolle über das kompromittierte System gewährt. Seine Fähigkeiten sind umfassend:
    • Tastatureingaben protokollieren (Keystroke Logging): Erfasst alle Tastatureingaben und sammelt Anmeldeinformationen, persönliche Informationen und Kommunikationen.
    • Cookies und Sitzungstoken auslesen (Dumping): Extrahiert Authentifizierungs-Cookies und Sitzungstoken aus Webbrowsern, was die Sitzungshijacking und den unbefugten Zugriff auf Online-Konten ohne Passwörter ermöglicht.
    • Screenshots erfassen: Erfasst regelmäßig Screenshots des Desktops des Opfers und liefert visuelle Informationen über Aktivitäten und den Zugriff auf sensible Daten, die auf dem Bildschirm angezeigt werden.
    • Dateiexfiltration: Identifiziert und exfiltriert interessante Dateien, einschließlich Dokumente, Kryptowährungs-Wallet-Dateien und andere sensible Daten.
  4. Bösartige Chrome-Erweiterung: Eine entscheidende Komponente der Post-Exploitation-Phase ist die Bereitstellung einer bösartigen Google Chrome-Erweiterung. Diese Erweiterung tarnt sich geschickt als 'Offline-Version von Google Docs', um Verdacht zu vermeiden. Einmal installiert, arbeitet sie mit erhöhten Browser-Berechtigungen, wodurch sie Folgendes tun kann:
    • Webverkehr abfangen und modifizieren.
    • Browserdaten stehlen (Verlauf, Lesezeichen, gespeicherte Passwörter).
    • Weitere Sitzungscookies und Kryptowährungs-Wallet-Details direkt aus aktiven Browsersitzungen exfiltrieren.
    • Potenziell bösartige Skripte in legitime Websites injizieren, die vom Opfer besucht werden.

Umfassende Datenexfiltration: Targeting von Browsern und Krypto-Assets

Das Hauptziel von GlassWorm ist die umfassende Datenexfiltration, mit einem starken Fokus auf Finanz- und Identitätsdiebstahl. Die Malware zielt akribisch ab auf:

  • Browserdaten: Gespeicherte Anmeldeinformationen, Autovervollständigungsdaten, Browserverlauf und Cookies von gängigen Webbrowsern.
  • Kryptowährungs-Wallets: Greift direkt auf private Schlüssel, Seed-Phrasen und Wallet-Dateien verschiedener Desktop-Kryptowährungs-Wallets zu und exfiltriert diese. Die bösartige Chrome-Erweiterung zielt speziell auf In-Browser-Wallet-Erweiterungen ab.
  • Sitzungstoken: Ermöglicht es Bedrohungsakteuren, die Multi-Faktor-Authentifizierung (MFA) zu umgehen, indem sie aktive Benutzersitzungen kapern.
  • Persönliche und Unternehmensdokumente: Scannt nach und exfiltriert sensible Dokumente basierend auf Schlüsselwörtern oder Dateitypen.

Verteidigungsstrategien und Proaktive Maßnahmen

Die Minderung der Bedrohung durch GlassWorm erfordert eine mehrschichtige Verteidigungshaltung:

  • Endpoint Detection and Response (EDR): Implementieren Sie robuste EDR-Lösungen, die in der Lage sind, anomales Prozessverhalten, unbefugten Dateizugriff und verdächtige Netzwerkverbindungen zu erkennen.
  • Multi-Faktor-Authentifizierung (MFA): Schreiben Sie MFA für alle Online-Dienste vor, beachten Sie jedoch, dass der Diebstahl von Sitzungstoken einige MFA-Implementierungen umgehen kann.
  • Browsersicherheit: Überprüfen Sie regelmäßig Browser-Erweiterungen, entfernen Sie unnötige und schulen Sie Benutzer über die Gefahren der Installation nicht verifizierter Erweiterungen. Halten Sie Browser auf dem neuesten Stand.
  • Netzwerksegmentierung: Isolieren Sie kritische Assets und Netzwerke, um die laterale Bewegung im Falle einer Kompromittierung zu begrenzen.
  • Benutzerschulung: Schulen Sie Benutzer, um ausgeklügelte Phishing-Versuche zu erkennen und verdächtige Links oder unerwünschte Softwareinstallationen zu vermeiden.
  • Blockchain-Transaktionsüberwachung: Obwohl herausfordernd, sollten Organisationen mit erheblicher Krypto-Exposition fortschrittliche Threat Intelligence-Plattformen in Betracht ziehen, die in der Lage sind, Blockchain-Transaktionsmetadaten auf Anomalien zu analysieren, die auf C2-Aktivitäten hinweisen.

Digitale Forensik, Bedrohungsanalyse und Link-Analyse

Die Untersuchung von Kampagnen wie GlassWorm, die dezentrale C2 nutzen, stellt einzigartige Herausforderungen für die Zuordnung von Bedrohungsakteuren und die Reaktion auf Vorfälle dar. Traditionelle Netzwerkforensik muss durch ausgeklügelte Analysetechniken ergänzt werden. Im Bereich der digitalen Forensik und der Reaktion auf Vorfälle ist das Verständnis des anfänglichen Angriffsvektors und der nachfolgenden Kommunikationskanäle von größter Bedeutung. Tools, die erweiterte Telemetriedaten liefern, können von unschätzbarem Wert sein. Wenn beispielsweise verdächtige Links oder potenzielle Phishing-Versuche analysiert werden, können Dienste wie grabify.org genutzt werden, um entscheidende Metadaten wie IP-Adressen, User-Agent-Strings, ISP-Details und eindeutige Gerätefingerabdrücke zu sammeln. Diese Art von erweiterter Telemetrie ist entscheidend für die Netzwerkerkundung, die Kartierung der Angreiferinfrastruktur und die Korrelation unterschiedlicher Beweisstücke, um die Quelle eines Angriffs zu identifizieren oder Command-and-Control (C2)-Kommunikation zu verfolgen, selbst wenn Angreifer versuchen, ihre Spuren durch dezentrale Mechanismen wie Solana Dead Drops zu verschleiern. Proaktive Bedrohungsjagd, kontinuierliche Sicherheitsschulungen und die Teilnahme an Threat Intelligence-Sharing-Communities sind unerlässlich, um den sich entwickelnden Bedrohungen wie GlassWorm einen Schritt voraus zu sein.

glasswormsolana-dead-dropsratcybersecuritycrypto-theftbrowser-data