Innerhalb von Prometheus, einem von Bedrohungsakteuren genutzten Traffic Delivery Service

BlackBerry-Forscher haben Licht auf einen bösartigen Datenverkehrsdienst namens Prometheus geworfen, der von Bedrohungsakteuren verwendet wird, um groß angelegte Malware-as-a-Service (MaaS)-Operationen und Phishing-Umleitungskampagnen zu ermöglichen.

„Prometheus kann als umfassender Dienst/eine umfassende Plattform angesehen werden, die es Bedrohungsgruppen ermöglicht, ihre Malware oder Phishing-Operationen einfach zu verbreiten.“ BlackBerry sagte in einem heute Morgen veröffentlichten Bericht.

„Um ihre Ziele zu erreichen, verfügt die Plattform über viele bewegliche Teile, von böswilligen PHP-Hintertüren über JavaScript-Weiterleitungen, Malspam- und Cobalt-Strike-Infrastruktur bis hin zu webbasierten Administrationspanels für Kunden.“

Prometheus wurde erstmals im vergangenen August von Forschern der IB Group identifiziert und verkauft den Zugang zu seinem Dienst über Untergrundforen auf Abonnementbasis mit Preisen zwischen 30 US-Dollar für zwei Tage und 250 US-Dollar für einen Monat.

Die Person hinter Prometheus verwendet den Namen „Ma1n“ in verschiedenen russischen Hacking-Foren. Der Dienst werde einer hauptsächlich russischen Kundschaft angeboten, erklärt BlackBerry. Anfangs verkauften sie verschiedene Exploit-Kits wie PowerMTA und boten Dienste in Form von „High Quality Redirects“ an. Diese Arbeit und dieses Wissen führten dann zur Schaffung von Prometheus TDS, heißt es in dem Bericht.

Ein Traffic Delivery Service (TDS) ist ein System, das entwickelt wurde, um Benutzer von einer Website zu einer anderen (um)zuleiten, heißt es in dem Bericht, basierend auf der vom Betreiber festgelegten Konfiguration. TDS hilft dabei, bösartige Binärdateien über ein komplexes Netz aus Phishing, Maldocs und HTTP-Umleitung an Ziele zu liefern.

TDS sind nicht neu, heißt es in dem Bericht. Früher waren sie Teil der Ausführungskette eines Exploit-Kits und leiteten einen unwissenden Benutzer auf eine „Zielseite“ um, auf der sein Computer identifiziert und nach Möglichkeit mit einem Exploit versorgt wurde. Aber die Landschaft mit Exploit-Kits (EK) ist in den letzten Jahren dank einer konzertierten Anstrengung der Strafverfolgungsbehörden, der Härtung von Browsern durch Entwickler und der rückläufigen Nutzung von Internet Explorer (IE) und Flash zurückgegangen, heißt es in dem Bericht.

Infolgedessen sind TDSs zu ihren eigenen unabhängigen Einheiten geworden, die größtenteils Teil von Crimeware-as-a-Service (CaaS)-Angeboten sind, die ein böswilliger Akteur in spezialisierten Foren im Dark Web zur Miete oder zum Verkauf anbietet. Beispiele aus der Vergangenheit sind EITest TDS die ausschließlich auf IE-Benutzer abzielten, SchwarzTDS, das Dienstleistungen für nur 16 $/Tag anbot, und Transparentes TDS.

Der Bericht weist darauf hin, dass der TDS-Verkehr typischerweise von einem der folgenden geleitet wird zwei Hauptquellen; böswillige Werbung (Malvertising) auf legitimen Websites oder auf kompromittierten legitimen Websites, die bösartigen Code enthalten. „Sobald ein Opfer in diesem Netz von Umleitungen gefangen ist, ist es der Gnade des TDS ausgeliefert und wird an einen Ort umgeleitet, der Malware, Phishing-Betrug, Exploit-Kits oder Betrug mit dem technischen Support anbietet. “, heißt es in dem Bericht.

Prometheus funktioniert etwas anders: Die Ziele werden durch eine Spam-E-Mail geleitet, die entweder eine HTML-Datei, eine Google Docs-Seite oder einen Web-Shell-Redirector enthält, erklärt BlackBerry. Diese Komponenten enthalten jeweils eine eingebettete URL, die den Benutzer zu einer Nutzlast der ersten Stufe oder zu einer Website umleiten soll, die vom Angreifer kompromittiert wurde und eine PHP-basierte Hintertür hostet. Dem Bericht zufolge wird die Hintertür verwendet, um verschiedene Arten von Daten des Opfers zu sammeln, die an das Verwaltungspanel von Prometheus TDS zurückgesendet werden. Das Admin-Panel könnte dann Anweisungen an die kompromittierte PHP-Website/Hintertür senden, das Opfer mit Malware versorgen oder es auf eine andere Seite umleiten, die möglicherweise einen Phishing-Betrug enthält.

Während Prometheus mehrere maßgeschneiderte Offensivlösungen verwendet, scheint es sich auch stark auf Cobalt Strike Beacon-Gegnersimulations- und Bedrohungsemulationssoftware zu verlassen, heißt es in dem Bericht. Gehackte Versionen von Cobalt Strike werden häufig von Hackern zur Aufklärung gehackter Computersysteme verwendet.

Der Bericht nutzt auch die Arbeit des Cybersicherheitsforschers Didier Stevens von NVISO Labs, der einen privaten SSL-Schlüssel fand, der in böswilligen Installationen von Cobalt Strike verwendet wurde. Dies veranlasste BlackBerry-Forscher dazu, Überschneidungen zwischen dem geleakten Schlüssel und der über Prometheus TDS bereitgestellten Malware zu untersuchen. Als Ergebnis kamen sie zu dem Schluss, dass eine Reihe bösartiger Kampagnen in letzter Zeit wahrscheinlich eine bestimmte gehackte Version von Cobalt Strike und Prometheus verwendet haben. Dazu gehören die Ransomware-Operationen REvil, Ryuk, Cerber und BlackMatter sowie das Malware-Paket Quakbot.

Zufälligerweise kommt der BlackBerry-Bericht zu dem Schluss, Stevens hat gerade eine mehrteilige Blog-Serie über die Entschlüsselung des Cobalt-Strike-Verkehrs veröffentlicht mit bekannten privaten SSL-Schlüsseln, die von Hackern verwendet werden. Einer der privaten SSL-Schlüssel war der Zwilling eines öffentlichen SSL-Schlüssels, den BlackBerry verwendete, um Prometheus-bezogene Bedrohungsgruppen und Spam-Kampagnen zusammenzufassen.

Dies bedeutet laut BlackBerry, dass es Forschern zur Reaktion auf Vorfälle möglich ist, dieses öffentlich/private Paar zu verwenden, um den Datenverkehr von Cobalt Strike Beacon zu entschlüsseln, der mit den Prozessen und Stevens-Tools zum Befehls- und Kontrollserver eines Bedrohungsakteurs geht.

Leave a Reply

Your email address will not be published. Required fields are marked *