ZURÜCK ZU NACHRICHTEN
Eilmeldung

DEAD#VAX-Kampagne nutzt IPFS und Obfuskation zur Verbreitung von AsyncRAT

2 Min. LesezeitQuelle: The Hacker News

Sicherheitsforscher enthüllen die raffinierte DEAD#VAX-Malware-Kampagne, die IPFS, verschleierte Skripte und In-Memory-Ausführung nutzt, um AsyncRAT zu verbreiten. Erfahren Sie, wie Sie sich schützen können.

Raffinierte DEAD#VAX-Malware-Kampagne zielt mit AsyncRAT auf Organisationen ab

Sicherheitsforscher haben eine gut getarnte Malware-Kampagne namens DEAD#VAX aufgedeckt, die eine Kombination aus IPFS-gehosteten VHD-Dateien, fortschrittlicher Skript-Obfuskation und In-Memory-Ausführung nutzt, um herkömmliche Sicherheitsmaßnahmen zu umgehen und AsyncRAT (Remote Access Trojaner) zu verbreiten. Die Kampagne zeigt ein diszipliniertes Vorgehen und missbraucht legitime Systemfunktionen, um der Erkennung zu entgehen.

Technische Analyse der Angriffskette

Die DEAD#VAX-Kampagne setzt mehrere Umgehungstechniken ein, um der Erkennung zu entgehen:

  • IPFS-gehostete schädliche Payloads: Die Angreifer verbreiten Virtual Hard Disk (VHD)-Dateien über das InterPlanetary File System (IPFS), ein dezentrales Speichernetzwerk, das Sperrmaßnahmen erschwert.
  • Extreme Skript-Obfuskation: Die Angreifer verwenden stark verschleierte Skripte, um schädlichen Code zu verbergen und statische Analysen zu erschweren.
  • Laufzeit-Entschlüsselung & In-Memory-Ausführung: Malware-Komponenten werden zur Laufzeit entschlüsselt und im Arbeitsspeicher ausgeführt, um festplattenbasierte Erkennungsmechanismen zu umgehen.
  • AsyncRAT-Verbreitung: Die endgültige Payload ist AsyncRAT, ein weit verbreiteter Open-Source-RAT, der Fernsteuerung, Datenexfiltration und Persistenz ermöglicht.

Auswirkungen und Erkennungsherausforderungen

Die Nutzung von IPFS zur Hosting schädlicher Dateien stellt eine erhebliche Herausforderung für Verteidiger dar, da herkömmliche domänenbasierte Blockierungsmethoden unwirksam sind. Darüber hinaus erschwert die Abhängigkeit der Kampagne von In-Memory-Ausführung und Obfuskation die Identifizierung schädlicher Aktivitäten durch Endpoint Detection and Response (EDR)-Lösungen.

Sicherheitsteams sollten auf folgende Anzeichen achten:

  • Ungewöhnliche VHD-Datei-Downloads von IPFS-Gateways
  • Verdächtige PowerShell- oder skriptbasierte Ausführungen
  • Netzwerkverbindungen zu bekannten AsyncRAT Command-and-Control (C2)-Servern

Empfehlungen zur Risikominderung und Reaktion

Organisationen können das Risiko durch folgende Maßnahmen verringern:

  • Zugang zu IPFS-Gateways einschränken: Blockieren oder überwachen Sie den Zugang zu bekannten IPFS-Gateways, sofern nicht explizit erforderlich.
  • Skriptüberwachung verbessern: Setzen Sie fortschrittliche Verhaltensanalysen ein, um verschleierte Skripte und In-Memory-Ausführungen zu erkennen.
  • Endpoint-Schutz: Stellen Sie sicher, dass EDR/XDR-Lösungen so konfiguriert sind, dass sie AsyncRAT und ähnliche RATs erkennen.
  • Schulung der Mitarbeiter: Sensibilisieren Sie Mitarbeiter für Phishing-Risiken, insbesondere im Zusammenhang mit ungewöhnlichen Dateitypen (z. B. VHD).

Forscher analysieren die Kampagne weiterhin auf zusätzliche Indikatoren für Kompromittierungen (IOCs). Sicherheitsteams wird empfohlen, sich über aufkommende Bedrohungen auf dem Laufenden zu halten und ihre Abwehrmaßnahmen entsprechend anzupassen.

Teilen

TwitterLinkedIn