BlackBerry-Forscher haben sich den bösartigen Zustelldienst namens Prometheus zu eigen gemacht, der von Bedrohungsakteuren verwendet wird, um Malware-as-a-Service (MaaS)-Operationen und groß angelegte Phishing-Umleitungskampagnen zu erleichtern.
„Prometheus kann als vollwertiger Dienst/Plattform betrachtet werden, die es Bedrohungsgruppen ermöglicht, ihre Malware- oder Phishing-Operationen einfach bereitzustellen.“ BlackBerry sagte dies in einem heute Morgen veröffentlichten Bericht.
„Damit die Plattform ihre Ziele erreichen kann, hat sie viele bewegliche Teile, von böswilligen PHP-Hintertüren über JavaScript-Umleitungen bis hin zu Malspam- und Cobalt-Strike-Infrastrukturen sowie Web-Administrations-Panels für Kunden.“
Prometheus, das erstmals im vergangenen August von Forschern der Gruppe IB identifiziert wurde, verkauft den Zugang zu seinem Dienst über Untergrundforen auf Abonnementbasis, der Preis reicht von 30 US-Dollar für zwei Tage bis zu 250 US-Dollar pro Monat.
Die Person hinter Prometheus verwendet den Namen „Ma1n“ in verschiedenen russischen Hacking-Foren. Der Dienst ist in erster Linie für den russischen Kundenstamm gedacht, sagt BlackBerry. Zunächst verkauften sie verschiedene Exploit-Kits wie PowerMTA und boten Dienste in Form von „High Quality Redirection“ an. Diese Arbeit und dieses Wissen führten dann zur Schaffung von Prometheus TDS, heißt es in dem Bericht.
Traffic Delivery Service (TDS) ist ein System, das entwickelt wurde, um Benutzer von einem Web-Standort zu einem anderen (umzuleiten), die Nachrichtenzustände basieren auf der vom Betreiber festgelegten Konfiguration. TDS hilft dabei, Malware-Binärdateien über ein komplexes Netzwerk aus Phishing, Maldoc und HTTP-Umleitung an Ziele zu liefern.
TDS sind nicht neu, stellt der Bericht klar. Früher waren sie ein integraler Bestandteil der Exploit-Set-Kette und leiteten den unbewussten Benutzer auf eine „Zielseite“ um, auf der die Fingerabdrücke seines Computers genommen und wo möglich Exploits bereitgestellt wurden. Aber die Umgebung von Exploit-Kits (EC) ist in den letzten Jahren aufgrund konzertierter Bemühungen der Strafverfolgungsbehörden, der Verschärfung von Browsern durch Entwickler und der rückläufigen Nutzung von Internet Explorer (IE) und Flash zurückgegangen, heißt es in dem Bericht.
Infolgedessen hat sich TDS zu eigenen unabhängigen Einheiten entwickelt, die größtenteils Teil von Crimeware-as-a-Service (CaaS)-Angeboten sind, die die Bedrohung entweder zur Miete oder zum Verkauf in spezialisierten Foren auf der Dark Site anbietet. Frühere Beispiele dafür sind EITest TDS die sich ausschließlich an IE-Nutzer richten, SchwarzTDS, die Dienstleistungen für nur 16 $ / Tag anbot, und Nahtlose TDS.
Der Bericht besagt, dass der TDS-Verkehr normalerweise von einem von ihnen geleitet wird zwei Hauptquellen; böswillige Werbung (Malvertising) auf legitimen Websites oder auf kompromittierten legitimen Websites, die bösartigen Code enthalten. „Sobald ein Opfer in diesem Umleitungsnetzwerk gefangen wird, wird es der TDS ausgeliefert und auf eine Website umgeleitet, die für Malware, Phishing-Betrug, Exploit-Kits oder Betrug mit technischem Support verwendet wird“, heißt es in dem Bericht.
Prometheus funktioniert etwas anders: Die Ziele werden durch eine Spam-E-Mail geleitet, die entweder eine HTML-Datei, eine Google Docs-Seite oder einen webbasierten Redirector enthält, sagt BlackBerry. Jede dieser Komponenten enthält eine eingebettete URL, die den Benutzer zur ersten Phase der Payload oder zu einer Webseite umleiten soll, die vom Angreifer kompromittiert wurde und eine PHP-basierte Hintertür hostet. Die Hintertüren, so der Bericht, werden verwendet, um verschiedene Arten von Daten des Opfers abzurufen, die an das Verwaltungspanel von Prometheus TDS zurückgesendet werden. Das Admin-Panel kann dann entscheiden, Anweisungen an die infizierte PHP-Hintertür zurückzusenden, das Malware-Opfer zu bedienen oder es auf eine andere Website umzuleiten, die möglicherweise Phishing-Betrug enthält.
Während Prometheus mehrere benutzerdefinierte Angriffslösungen verwendet, scheint es sich auch stark auf die Gegnersimulations- und Bedrohungsemulationssoftware Cobalt Strike Beacon zu verlassen, heißt es in dem Bericht. Crack-Versionen von Cobalt Strike werden häufig von Bedrohungsakteuren verwendet, um gehackte IT-Systeme zu untersuchen.
Der Bericht stützt sich auch auf die Arbeit des Cybersicherheitsforschers Didier Stevens von NVISO Labs, der einen privaten SSL-Schlüssel fand, der in böswilligen Cobalt Strike-Installationen verwendet wurde. Dies veranlasste BlackBerry-Forscher, die Überschneidung zwischen dem geleakten Schlüssel und der über Prometheus TDS bereitgestellten Malware zu untersuchen. Als Ergebnis kamen sie zu dem Schluss, dass eine Reihe bösartiger Kampagnen kürzlich wahrscheinlich eine bestimmte gecrackte Version von Cobalt Strike und Prometheus ausgenutzt hatten. Dazu gehören die Ransomware-Operationen REvil, Ryuk, Cerber und BlackMatter sowie das Malware-Paket Quakbot.
Zufälligerweise schließt der BlackBerry-Bericht Stevens hat gerade eine mehrteilige Blog-Serie über die Entschlüsselung des Cobalt-Strike-Verkehrs veröffentlicht mit bekannten privaten SSL-Schlüsseln, die von Hackern verwendet werden. Einer der privaten SSL-Schlüssel war der Zwilling des öffentlichen SSL-Schlüssels, den BlackBerry verwendete, um Gruppen von Bedrohungen im Zusammenhang mit Prometheus- und Malspam-Kampagnen zu gruppieren.
Das heißt, laut BlackBerry ist es möglich, dass Forscher zur Reaktion auf Vorfälle dieses öffentlich/private Paar verwenden könnten, um den Datenverkehr von Cobalt Strike Beacon zum Befehls- und Kontrollserver für Bedrohungen mithilfe von Stevens-Prozessen und -Tools zu entschlüsseln.