BattleRoyal – neuer Cybercrime-Akteur

Security-Experten des Cybersicherheitsunternehmens Proofpoint haben heute ihre Untersuchungsergebnisse zu einem neuen Cybercrime-Akteur veröffentlicht.

Der Security-Experte hat diese cyberkriminelle Gruppe „BattleRoyal“ getauft. Die Gruppe verbreitet sowohl die DarkGate- als auch die NetSupport-Malware, um über verschiedene Angriffsketten und Social-Engineering-Techniken die Kontrolle über infizierte Hosts zu erlangen.

Zwischen September und November 2023 verbreitete BattleRoyal in mindestens 20 E-Mail-Kampagnen die DarkGate-Malware. Zu den besonderen Merkmalen der Kampagnen zählten:

  • Verbreitung: Per E-Mail und mittels gefälschter Browser-Updates von RogueRaticate.
  • Volumen und Ziele: Die E-Mail-Kampagnen umfassten Zehntausende von E-Mails, die auf Dutzende von Branchen abzielten.
  • Angriffskette: Eine Reihe bemerkenswerter Tools wie 404 TDS, Keitaro TDS und .URL-Dateien, die die Sicherheitslücke CVE-2023-36025 ausnutzten.

BattleRoyal zeichnet sich durch die Verwendung unterschiedlicher Angriffsketten zur Verbreitung von Malware aus. DarkGate kann generell dazu verwendet werden, um Informationen zu stehlen und zusätzliche Malware-Payloads nachzuladen. Mit NetSupport können Cyberkriminelle die Kontrolle über einen infizierten Host erlangen, zusätzliche Malware installieren und laterale Bewegungen in einer kompromittierten Umgebung ausführen. Die Verwendung von E-Mails und präparierten Websites mit Ködern rund um vermeintliche Updates zur Verbreitung von DarkGate und NetSupport ist einzigartig.

Dieses Vorgehen entspricht allerdings einem allgemeinen Trend, den Proofpoint bei cyberkriminellen Gruppen beobachtet hat: Sie nutzen neue, unterschiedliche und zunehmend kreative Angriffsketten, um Malware zu verbreiten – einschließlich der Verwendung verschiedener TDS-Tools. Darüber hinaus belegt ihr Vorgehen mit der Verwendung von E-Mails und vermeintlichen Updates, dass die Täter verschiedene Arten von Social-Engineering-Techniken für sich nutzen, um ihre Opfer zur Installation der endgültigen Payload zu bewegen.

 

Eine detailliere Analyse der von Proofpoint beobachteten Cyberkampagnen von BattleRoyal, inklusive Beispielen für die ausgeklügelten Angriffsketten der Gruppe, sowie technische Details zu den Hintergründen finden Sie im neuesten, englischsprachigen Threat Blog des Unternehmens.

 

Aufmacherbild / Quelle / Lizenz
Image by Elchinator from Pixabay