Säkerhetsforskare har nyligen upptäckt en ny intrångskedja kopplad till aktivitet kring Termite-ransomware. Operationen bygger på social engineering och legitima Windows-verktyg för att infiltrera nätverk. I stället för att utnyttja programvarusårbarheter manipulerar angripare offer till att själva köra skadliga kommandon.
Kampanjen använder en teknik som kallas ClickFix. Metoden lurar användare att köra kommandon som i bakgrunden laddar ned komponenter av skadlig kod. När angripare väl fått tillgång till systemet distribuerar de ytterligare verktyg för att kartlägga nätverket och upprätthålla uthållig åtkomst.
Forskare menar att aktiviteten visar hur ransomwaregrupper fortsätter att förfina sina attackstrategier. Moderna intrång utvecklas ofta i flera steg innan den slutliga ransomware-payloaden aktiveras.
Hotgrupp bakom aktiviteten
Utredare kopplade kampanjen till en hotgrupp som spåras under namnet Velvet Tempest. Säkerhetsteam identifierar också gruppen under beteckningen DEV-0504. Aktörerna har varit aktiva inom ransomware-ekosystemet i flera år.
Forskare kopplar gruppen till flera välkända ransomwarefamiljer. Tidigare kampanjer har involverat operationer relaterade till Ryuk, Conti, LockBit, BlackCat och REvil. Gruppen arbetar ofta som affiliate inom större ransomware-nätverk.
Under den senaste undersökningen observerade analytiker angriparna i en simulerad företagsmiljö. Scenariot representerade en stor organisation med tusentals användare och enheter. Operatörerna utförde så kallad hands-on-keyboard-aktivitet medan de kartlade nätverket och identifierade potentiella mål.
ClickFix användes för initial åtkomst
Intrånget började med en malvertisingkampanj som levererade en ClickFix-fälla. Offren mötte en falsk CAPTCHA-prompt när de surfade på webben. Sidan visade instruktioner som påstod sig lösa ett verifieringssteg.
I stället för att bekräfta en CAPTCHA uppmanades användarna att klistra in ett kommando i Windows Run-dialogen. När offren körde kommandot startade en serie dolda operationer i systemet.
Kommandona använde inbyggda Windows-verktyg. Dessa verktyg laddade ned filer och aktiverade ytterligare skript utan att omedelbart väcka misstankar. Eftersom aktiviteten använder legitima systemverktyg kan vissa säkerhetslösningar ha svårt att upptäcka attacken i ett tidigt skede.
Malware distribueras via DonutLoader
När angriparna hade fått tillgång till systemet distribuerade de ytterligare payloads genom skriptbaserade kommandon. PowerShell-kommandon laddade ned komponenter och kompilerade .NET-payloads direkt på det komprometterade systemet.
Ett steg i attackkedjan introducerade DonutLoader, en loader som ofta används för att leverera sekundär skadlig kod. Genom denna loader installerade angriparna bakdörren CastleRAT.
CastleRAT ger fjärrkontroll över infekterade system. Angripare kan köra kommandon, samla in information och röra sig lateralt i nätverket. Denna åtkomst gör det möjligt för operatörerna att utöka sin närvaro innan en slutlig attack genomförs.
Forskare observerade också Python-baserade komponenter placerade i systemkataloger. Dessa verktyg hjälpte angriparna att behålla åtkomst även efter omstarter av systemet.
Ransomwarefasen observerades inte
Under det övervakade intrånget såg forskarna inte att Termite-ransomware faktiskt distribuerades. Infrastruktur och verktyg tyder dock starkt på att attacken förbereddes för en ransomwareoperation.
Hotaktörer tillbringar ofta lång tid i ett nätverk innan kryptering startar. De samlar först in inloggningsuppgifter, kartlägger interna system och identifierar värdefull data. Denna förberedelse gör det möjligt att maximera effekten av en senare ransomwareattack.
Termite-ransomware har redan kopplats till attacker mot flera organisationer. Kända incidenter inkluderar intrång hos SaaS-leverantören Blue Yonder och det australiska fertilitetsföretaget Genea.
Social engineering driver fortfarande attacker
ClickFix-metoden speglar en bredare förändring i cyberkriminella taktiker. Många angripare förlitar sig nu mer på social engineering än på tekniska exploateringar.
Genom att övertala användare att själva köra kommandon kan kriminella kringgå vissa säkerhetsskydd. Metoden minskar också behovet av avancerade sårbarhetsexploits.
Forskare varnar för att liknande tekniker sannolikt kommer att dyka upp i framtida ransomwarekampanjer. Angripare fortsätter att utveckla social engineering-strategier som framstår som legitima för offren.
Slutsats
Undersökningen visar hur moderna ransomwarekampanjer utvecklas genom flera intrångssteg. Aktiviteten kopplad till Termite-ransomware visar hur angripare kombinerar social engineering med legitima systemverktyg.
ClickFix-tekniken gör det möjligt för kriminella att få initial åtkomst utan att utnyttja programvarusårbarheter. När angriparna väl är inne i nätverket använder de loaders, fjärråtkomstverktyg och mekanismer för uthållighet.
Även om den övervakade attacken stoppades innan kryptering genomfördes tyder infrastrukturen på förberedelser för en full ransomwareoperation. Organisationer måste vara uppmärksamma på social engineering-attacker som uppmanar användare att köra okända kommandon.
Ökad säkerhetsmedvetenhet och starkare övervakning förblir viktiga försvar mot utvecklande ransomwarehot.
0 svar till ”Termite-ransomware kopplas till ClickFix- och CastleRAT-attacker”