Prometheus er en vigtig aktør i malware-distribution

Den nyopdagede Prometheus bruger et netværk af kompromitterede hjemmesider og servere til malware eller svindel.

Cyberkriminalitet næres af et komplekst økosystem af kriminelle grupper, der specialiserer sig i forskellige dele af de angrebskæder, som ofrene oplever. Der er malwareudviklere, adgangsmæglere, spammere, sælgere af de private oplysninger, botnet-operatører, malvertizers og meget mere.

En tjeneste, der ofte overses, men stadig spiller en vigtig rolle i malwarelevering er såkaldte Trafic Direction Systems (TDS). Disse er netværk af kompromitterede hjemmesider og andre servere, hvis mål er at lede ofre til malware- eller phishingsider. På grund af nedgangen i web-baserede malwarekits og drive-by-downloads i de seneste år, er tjenesterne faldet ud af rampelyset, men en undersøgelse af en TDS, kaldet Prometheus, viser, at de stadig spiller en central rolle i ransomware og andre malware distribution.

Om Prometheus TDS

Ifølge en ny rapport fra forskere fra Blackberry dukkede Prometheus TDS op omkring september 2020, da det blev annonceret på et underjordisk russisk forum af en bruger kaldet Ma1n. Brugeren har været aktiv i cyberkriminalitetsscenen siden mindst 2018, tidligere reklame masse e-mail-tjenester og ikke-sortlistede SMTP-servere af business-grade, der kan bruges til at sende hundredtusindvis af e-mails med rigtige SPF-, DKIM- og DMARC-overskrifter.

Ma1n har også tidligere tilbudt webtrafik omdirigere tjenester via eksisterende TDS-løsninger såsom Blacktds og KeitaroTDS. Det ser ud til, at den ekspertise, der er erhvervet gennem årene, førte til, at de skabte deres egen løsning kaldet Prometheus.

Målet med TDS’er er at omdirigere legitime web-brugere til malware, phishing sider, teknisk support svindel, eller andre ondsindede operationer. Det opnås ved at placere ondsindede scripts på kompromitterede hjemmesider, der opfanger trafik eller gennem ondsindede reklamer, der serveres for brugere på legitime hjemmesider via annoncenetværk.

Den største fordel ved en TDS er, at det giver cyberkriminelle til at definere omdirigering regler fra en administration panel baseret på den type besøgende rammer systemets web af ondsindede destinationssider. På kompromitterede websteder opnår Prometheus dette gennem et simpelt PHP-bagdørsscript, der fingeraftryk besøgende – browser, OS, tidszone, sprogindstillinger – og sender oplysningerne tilbage til en kommando- og kontrolserver, hvorfra den trækker omdirigeringsinstruktioner defineret af angribere. Det betyder, at forskellige kategorier af besøgende kan omdirigeres til forskellige kampagner afhængigt af målgruppen de forskellige grupper leje TDS-tjenester ønsker at nå, og ofrene kan også ende med at se lokaliseret svindel på deres sprog.

BlackBerry forskere mener, at Prometheus PHP bagdør er indsat på hjemmesider, der bruger en sårbar version af PHPMailer software. Men brugen af dette script er faldet betydeligt i løbet af de sidste par måneder, muligvis til fordel for andre metoder.

Ifølge en analyse af Group-IB så starter Prometheus en typisk angreb kæde med spam e-mails, der indeholder enten en HTML-vedhæftet fil, en Google Docs URL, eller et link til en web shell hostet på en kompromitteret server. Målet er at få brugeren til at åbne en ondsindet URL, der vil føre til en Prometheus PHP bagdør. I anden fase, indsamler de besøgende info, sender det til admin panel og derefter beslutter at enten tjene malware direkte til brugeren eller omdirigere dem til en anden webadresse, der er blevet defineret af angriberne.

Prometheus bruges af mange cyberkriminelle grupper

I sin analyse, ser Group-IB at Prometheus distribuere Campo Loader, også kendt som BazaLoader, i form af lokkedue Microsoft Office-filer med ondsindede makroer vedhæftet. Malware loaders er små første fase downloadere, der bruges til at distribuere andre ondsindede programmer, ofte som en del af en pay-per-install service, der tilbydes cyberkriminelle. Campo Loader blev tidligere brugt til at distribuere TrickBot og Ursnif/Gozi Trojans. TrickBot blev brugt selv i fortiden som en adgang facilitator til at implementere Ryuk ransomware og anden malware.

Ifølge Group-IB, omfatter andre trojanske heste distribueret af Prometheus Hancitor, som var knyttet til Ficker Stealer, Kobolt Strike, og Send-Safe; IcedID, som er kendt for at distribuere ransomware; QBot, en generel bank trojansk; VBS Loader; Buer Loader; og SocGholish. Lokkemaden, der bruges af Prometheus til at distribuere disse malware-programmer, varierer fra falske Chrome-opdateringer og VPN-software til ondsindede dokumenter, der hævder at have brug for DocuSign-godkendelse og ZIP-arkiver med ondsindede scripts. TDS er også blevet brugt til at omdirigere brugere til bank-phishing sites, Viagra spam og meget mere.

Den piratkopierede Cobalt Strike link

BlackBerry analytikere bemærkede en betydelig sammenhæng mellem Prometheus’ datterselskaber og brugen af Cobalt Strike Beacon med en bestemt piratkopieret krypteringsnøgle. Cobalt Strike er en kommerciel penetration test toolkit, men den er blevet brugt af mange cyberkriminelle grupper som en bagdør på grund af sin snigende kapaciteter.

Cobalt Strike-implantatet, kaldet et fyrtårn, der er implementeret på kompromitterede maskiner, kommunikerer tilbage til en kommando- og kontrolserver kaldet en teamserver. Trafikken mellem beacon er krypteret ved hjælp af offentlig-privat kryptografi med et nøglepar genereret, når teamserveren først implementeres. BlackBerry analytikere bemærkede, at der var mange Prometheus-relaterede malware distributionskampagner ved hjælp af den samme Cobalt Strike nøglepar.

Et af disse centrale par er også blevet fundet og dokumenteret af analytiker Didier Stevens af NVISO Labs, der bemærker, at sammen med et anden nøgle par, tegner det sig for 25% af Cobalt Strike team servere på internettet. Noget tyder på, at det sandsynligvis distribueres som en del af en piratkopieret version af Cobalt Strike, da hver teamserverinstallation normalt skal have sit unikke nøglepar.

“Mens vi ikke kan sige med sikkerhed, er det muligt, at nogen forbundet med Prometheus TDS opretholder denne revnede kopi og giver det ved køb,” siger BlackBerry analytikerne. “Det er også muligt, at denne revnede installation kan leveres som en del af en standard playbook eller en virtuel maskine (VM) installation.”

Siden januar 2020 har mange cyberkriminelle grupper brugt Cobalt Strike med dette unikke nøglepar, og selvom det ikke er klart, om alle var Prometheus-kunder, har BlackBerry-forskerne set beviser for, at følgende var: DarkCrystalRAT, FickerStealer, Cerber, REvil (alias Sodinokibi), Ryuk (alias WizardSpider) og BlackMatter. Derudover har andre grupper, der er nævnt i Group-IB’s Prometheus-analyse sidste år, brugt den samme Cobalt Strike piratkopierede version: MAN1, FIN7 og IcedID.

“Søgning på tværs af vores kunders data for tegn på Prometheus / Cobalt Strike-relaterede aktivitet afslører nogle interessante tendenser,” BlackBerry forskerne sagde. “Listen over indgående TCP-porte viser tegn på portscanning, hvor trusselsaktører udfører rekognoscering af internetbaseret infrastruktur. Det gør de efter al sandsynlighed på jagt efter en af de største akilleshæle til organisationer: fjernudnyttede tjenester.”

Scanninger på port 3389, der bruges af Windows Remote Desktop Protocol (RDP), var mest almindelige og set i næsten 60 % af tilfældene. Dette er ikke overraskende, da RDP har været en af de vigtigste måder for ransomware bander til at bryde ind i netværk og, som tidligere set, listen over Prometheus kunder omfatter mange ransomwaregrupper. Nogle Cobalt-teamservere blev også set fungere som RDP-jumpstationer til Prometheus. Scanninger på port 443 (HTTPS), 21 (Telnet) og 80 (HTTP) var også almindelige som forventet. Forskerne bemærkede flere forbindelser fra Tomcat Java webservere tilbage til en Prometheus-relateret IP-adresse, hvilket kunne tyde på nogle Tomcat sårbarhed udnyttelse og Cobalt beacon implementering.

På tværs af kampagner ved hjælp af den piratkopierede Cobalt Strike-version og nøglepar var organisationer i den offentlige sektor langt det mest almindelige mål på 21%, efterfulgt af dem inden for handel, detailhandel, uddannelse og sundhed – alt sammen i de lave encifrede procentvise.

“Prometheus kan betragtes som en fyldig service / platform, der gør det muligt for trusselsgrupper at sprede deres malware eller phishing-operationer med lethed,” BlackBerry forskerne sagde. “Tænk på Prometheus som en godstransport infrastruktur, undtagen i stedet for at transportere fødevarer eller petrokemikalier, det bærer en række cyber offensiv kapaciteter og malware til sine mål. Det ironiske ved denne analogi er, at tjenester som Prometheus gør det muligt for dårlige aktører at målrette virksomheder, der leverer faktisk infrastruktur – såsom godstransport og andre kritiske tjenester – i den fysiske verden.

Kilde: CSOonline

Cybersikkerhed & Nyheder