Die hochentwickelte Bedrohungsgruppe hinter einem komplexen JavaScript-Remote-Access-Trojaner (RAT) namens JSOutProx hat eine neue Version der Malware für Organisationen im Nahen Osten veröffentlicht.
Das Cybersicherheitsdienstleistungsunternehmen Resecurity analysierte technische Details mehrerer Vorfälle, bei denen die JSOutProx-Malware auf Finanzkunden abzielte und entweder eine gefälschte SWIFT-Zahlungsbenachrichtigung lieferte, wenn es um ein Unternehmen ging, oder eine MoneyGram-Vorlage, wenn es um Privatpersonen ging, schrieb das Unternehmen in einem diese Woche veröffentlichten Bericht. Die Bedrohungsgruppe hat Regierungsorganisationen in Indien und Taiwan sowie Finanzorganisationen auf den Philippinen, in Laos, Singapur, Malaysia und Indien ins Visier genommen – und jetzt Saudi-Arabien.
„Die neueste Version von JSOutProx ist aus Entwicklungssicht ein sehr flexibles und gut organisiertes Programm, das es den Angreifern ermöglicht, seine Funktionalität an die spezifische Umgebung des Opfers anzupassen“, sagt Gene Yoo, CEO von Resecurity.
„Es handelt sich um ein Malware-Implantat mit mehreren Stufen und mehreren Plug-ins“, sagt er. „Abhängig von der Umgebung des Opfers dringt es direkt ein und lässt es dann tatsächlich bluten oder vergiftet die Umgebung, je nachdem, welche Plug-ins aktiviert sind.“
Bei den Angriffen handelt es sich um die jüngste Kampagne einer Cyberkriminellengruppe namens Solar Spider, die offenbar die einzige Gruppe ist, die die Malware JSOutProx verwendet. Basierend auf den Zielen der Gruppe – typischerweise Organisationen in Indien, aber auch im asiatisch-pazifischen Raum, in Afrika und anderen Ländern Regionen im Nahen Osten — es hängt wahrscheinlich mit China zusammen, Resecurity erklärte in seiner Analyse.
„Durch die Profilierung der Ziele und einige der Details, die wir in der Infrastruktur erhalten haben, vermuten wir, dass es sich um China handelt“, sagt Yoo.
„Stark verschleiert … Modulares Plug-in“
JSOutProx ist in der Finanzbranche bekannt. Visa beispielsweise habe im Jahr 2023 Kampagnen mit dem Angriffstool dokumentiert, darunter eine gezielte Kampagne gegen mehrere Banken im asiatisch-pazifischen Raum, so das Unternehmen Sein im Dezember veröffentlichter halbjährlicher Bedrohungsbericht.
Der Remote-Access-Trojaner (RAT) ist eine „stark verschleierte JavaScript-Hintertür, die über modulare Plugin-Funktionen verfügt, Shell-Befehle ausführen, Dateien herunterladen, hochladen und ausführen, das Dateisystem manipulieren, Persistenz herstellen, Screenshots erstellen und Tastatur und Maus manipulieren kann.“ Ereignisse“, erklärte Visa in seinem Bericht. „Diese einzigartigen Funktionen ermöglichen es der Malware, der Erkennung durch Sicherheitssysteme zu entgehen und eine Vielzahl sensibler Zahlungs- und Finanzinformationen von anvisierten Finanzinstituten zu erhalten.
JSOutProx erscheint normalerweise als PDF-Datei eines Finanzdokuments in einem ZIP-Archiv. Aber in Wirklichkeit handelt es sich um JavaScript, das ausgeführt wird, wenn ein Opfer die Datei öffnet. Die erste Stufe des Angriffs sammelt Informationen über das System und kommuniziert mit Command-and-Control-Servern, die über dynamisches DNS verschleiert werden. In der zweiten Phase des Angriffs werden etwa 14 Plug-Ins heruntergeladen, um weitere Angriffe durchzuführen, darunter den Zugriff auf Outlook und die Kontaktliste des Benutzers sowie das Aktivieren oder Deaktivieren von Proxys im System.
Das RAT lädt Plugins von GitHub – oder neuerdings GitLab – herunter, um legitim zu wirken.
„Die Entdeckung der neuen Version von JSOutProx, gepaart mit der Ausnutzung von Plattformen wie GitHub und GitLab, unterstreicht die unermüdlichen Bemühungen und die ausgefeilte Konsistenz dieser böswilligen Akteure“, sagte Resecurity in seiner Analyse.
Monetarisierung von Daten aus Finanzdaten aus dem Nahen Osten
Sobald Solar Spider einen Benutzer kompromittiert, sammeln die Angreifer Informationen wie primäre Kontonummern und Benutzeranmeldeinformationen und führen dann laut dem Bedrohungsbericht von Visa verschiedene böswillige Aktionen gegen das Opfer durch.
„Die JSOutProx-Malware stellt eine ernsthafte Bedrohung für Finanzinstitute auf der ganzen Welt dar, insbesondere für diejenigen in der AP-Region, da diese Unternehmen häufiger von dieser Malware angegriffen werden“, heißt es im Visa-Bericht.
Unternehmen sollten ihre Mitarbeiter darüber aufklären, wie sie mit unerwünschter, verdächtiger Korrespondenz umgehen sollen, um die Bedrohung durch die Malware zu mindern, so Visa. Darüber hinaus muss jede Instanz der Malware untersucht und vollständig behoben werden, um eine erneute Infektion zu verhindern.
Größere Unternehmen und Regierungsbehörden werden eher von der Gruppe angegriffen, da Solar Spider die erfolgreichsten Firmen im Visier hat, sagt Yoo von Resecurity. In den meisten Fällen müssen Unternehmen jedoch keine bedrohungsspezifischen Maßnahmen ergreifen, sondern sich stattdessen auf tiefgreifende Verteidigungsstrategien konzentrieren, sagt er.
„Der Benutzer sollte sich darauf konzentrieren, nicht auf das glänzende Objekt am Himmel zu schauen, wie es die Chinesen tun, sondern darauf, eine bessere Grundlage zu schaffen“, sagt Yoo. „Gutes Patching, Netzwerksegmentierung und Schwachstellenmanagement. Wenn Sie das tun, hätte dies wahrscheinlich keine Auswirkungen auf Ihre Benutzer.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
