Eine aktive APT-Kampagne, die sich an Technologieunternehmen richtet, ist im Gange, die auch eine legitime NVIDIA-Grafikfunktion verwendet.
Eine mutmaßliche chinesische Gruppe für fortgeschrittene persistente Bedrohung (Advanced Persistent Threat, APT) wurde dabei beobachtet, wie sie Technologieunternehmen mit einer trojanischen Bildschirmleseprogrammierung angreift, die die in Windows eingebaute Narrator "Ease of Access"-Funktion ersetzt.
Laut BlackBerry Cylance setzen die Angreifer auch eine Version der Open-Source-Malware ein, die als PcShare-Backdoor bekannt ist, um einen ersten Zugang zu den Systemen der Opfer zu erhalten.
Mit Hilfe dieser beiden Tools sind die Gegner in der Lage, Windows-Rechner über Remote-Desktop-Anmeldebildschirme heimlich zu kontrollieren, ohne dass sie dafür Anmeldedaten benötigen.
Die Angriffe beginnen damit, dass sie die PcShare-Hintertür über Spearphishing-Kampagnen an die Opfer ausliefern. Es wurde modifiziert und so konzipiert, dass es funktioniert, wenn es von einer legitimen NVIDIA-Anwendung seitlich geladen wird.
Es ist "speziell auf die Bedürfnisse der Kampagne zugeschnitten, mit zusätzlicher Befehls- und Kontroll-(C2)-Verschlüsselung und Proxy-Bypass-Funktionalität, und alle ungenutzten Funktionen wurden aus dem Code entfernt", erklärten Forscher von BlackBerry Cylance in einer am Mittwoch veröffentlichten Analyse. Zu den ungenutzten Funktionen gehören Audio-/Video-Streaming und Tastaturüberwachung, was darauf hindeutet, dass sie ausschließlich zur Installation anderer Malware verwendet werden.
Interessanterweise kommt es mit einem maßgeschneiderten Ladeprogramm, das die oben erwähnte DLL-Sideloading-Technik verwendet, auf den Markt.
"Die DLL wird von der legitimen NVIDIA Smart Maximise Helper Host-Anwendung (Teil des NVIDIA-Grafiktreibers) seitlich geladen, statt der ursprünglichen NvSmartMax.dll, die das Programm normalerweise verwendet", so die Firma. "Seine Hauptverantwortung besteht darin, die verschlüsselte Nutzlast zu entschlüsseln und zu laden, die entweder in seinem .data-Abschnitt oder in einer separaten DAT-Datei gespeichert ist.
Die Verwendung der legitimen Anwendung durch PcShare ermöglicht es, dass der Angriff zusätzliche Stufen der Verstohlenheit erreicht, sagten die Forscher.
"Die Verwendung der DLL-Side-Loading-Technik zusammen mit einem maßgeschneiderten Loader, der Speicherinjektion verwendet, stellt sicher, dass die Haupt-Backdoor-Binärdatei niemals auf die Festplatte fallen gelassen wird", erklärten die Forscher. "Eine einfache, aber effektive Anti-Sandboxing-Technik der Nutzlast-Kodierung auf der Grundlage des Ausführungspfades ist ebenfalls implementiert, um eine Entdeckung zu vermeiden.
Darüber hinaus ist auch die C2-Infrastruktur verschleiert; während die URL, an die die Malware gesendet wird, im Klartext angegeben wird, verweist die Adresse tatsächlich auf eine Remote-Datei, die die tatsächlichen Einzelheiten der Kommunikation mit dem C2 enthält.
"Dies ermöglicht es den Angreifern, die bevorzugte C2-Adresse leicht zu ändern, den Zeitpunkt der Kommunikation zu bestimmen und - durch Anwendung der serverseitigen Filterung - die Aufdeckung der tatsächlichen Adresse auf Anfragen aus bestimmten Regionen oder zu bestimmten Zeiten zu beschränken", so die Forscher.
Nachdem sie sich Zugang zum Rechner des Opfers verschafft haben, setzen die Angreifer dann eine Reihe von Tools für die Nachnutzung ein, von denen viele auf öffentlich zugänglichem Code basieren, der laut den Forschern häufig in chinesischen Programmierportalen zu finden ist. Eines davon ist ein maßgeschneiderter Trojaner, Fake Narrator, der die Zugänglichkeitsfunktionen von Microsoft missbraucht, um sich auf dem kompromittierten Rechner Zugang auf SYSTEM-Ebene zu verschaffen.
Sobald die Angreifer administrative Privilegien im System des Opfers erhalten haben, besteht der nächste Schritt darin, Narrator.exe durch eine trojanische Version zu ersetzen, die dem Angreifer die Möglichkeit gibt, jedes Programm mit Systemprivilegien auszuführen.
Die ausführbare Datei Narrator ist ein Windows-Dienstprogramm, das den Text auf dem Bildschirm für Sehbehinderte laut vorliest. Es kann auf dem Anmeldebildschirm mit einer Tastenkombination aufgerufen werden, was einen permanenten Zugriff auf Systemebene ermöglicht.
"Sobald der Fake Narrator auf dem Anmeldebildschirm über 'Ease of Access' aktiviert wird, wird die Malware von winlogon.exe mit SYSTEM-Privilegien ausgeführt", erklärten die Forscher.
Bei der Ausführung führt der trojanische Fake-Erzähler zunächst den ursprünglichen legitimen Erzähler aus, registriert dann eine Fensterklasse ("NARRATOR") und erstellt ein Fenster ("Narrator").
"Die Fensterprozedur erzeugt einen Dialog mit einem Editier-Steuerelement und einer Schaltfläche namens 'r', während ein separater Thread ständig die Tastenanschläge überwacht", erklärten die Forscher. "Wenn die Malware erkennt, dass ein bestimmtes Passwort eingegeben wurde (in der Binärdatei als 'showmememe'-Zeichenfolge fest einprogrammiert), zeigt sie den zuvor erstellten Dialog an. Dies ermöglicht es dem Angreifer, den Befehl oder den Pfad zu einer Datei anzugeben, die über ein Editierfeld ausgeführt werden soll.
Die Eingabe des definierten Passworts des Angreifers ermöglicht es dem Angreifer, jede beliebige ausführbare Datei, die auch unter dem SYSTEM-Konto läuft, auf dem Anmeldebildschirm zu erzeugen. Die Forscher erklärten, dass diese Technik es einem böswilligen Akteur letztlich ermöglicht, eine persistente Shell auf einem System zu unterhalten, ohne dass gültige Anmeldeinformationen benötigt werden.
"Diese Binärdatei ist ziemlich neu ...[insofern] als sie eine Kopie der ursprünglichen Narrator.exe erzeugt und ein verstecktes, überlappendes Fenster zeichnet, in dem sie darauf wartet, bestimmte Tastenkombinationen zu erfassen, die nur dem Angreifer bekannt sind", erklärten die Forscher. "Wenn die korrekte Passphrase eingegeben wurde, zeigt die Malware ein Dialogfeld an, in dem der Angreifer den Pfad zu einer auszuführenden Datei angeben kann.