Zscaler waarschuwt voor HydroJiin-campagne die SSL-encryptie misbruikt

Interessante campagne bestaande uit meerdere infostealer RAT-families en miner malware

| Zscaler | 3 min | 29 april 2021 16:28
Afbeelding: De HydroJiin infectieketen | Copyright: Zscaler
Het Zscaler ThreatLabZ-team heeft een interessante campagne ontdekt bestaande uit meerdere infostealer RAT-families en miner malware. Deze campagne is omgedoopt tot ‘HydroJiin’ op basis van aliassen gebruikt door de threat actor. Deze threat actor verkoopt malware en hangt rond in online fora die vaak bezocht worden door onervaren tot mid-level cybercriminelen. Zscaler vermoedt dat de malware-auteur een wijd verspreide campagne voert, bestaande uit verschillende commodity- en custom-malware, om informatie te stelen en te verkopen op ondergrondse marktplaatsen

Vergelijkbaar met andere aanvallen die beschreven worden in het recente ThreatLabZ State of Encrypted Attacks-rapport, onderstreept ook deze campagne het belang van continue SSL-inspectie en een zero trust-beleid om initiële infectie te voorkomen alsook de communicatie naar C&C servers. Ondanks dat de impact van deze specifieke campagne niet bekend is, wordt dit type malware wel breed aangeboden op ondergrondse markten. De campagne zelf is niet enorm geavanceerd. Wel vergroot het gebruik van een aantal verschillende technieken de kans op het succesvol infiltreren van organisaties die niet de juiste maatregelen nemen.

SSL-inspectie

Bij een aanval van deze campagne wordt versleuteld verkeer misbruikt om de malware te verbergen. Ondanks dat SSL-encryptie ontwikkeld is om verkeer te beschermen, lijkt dit nu ook op zichzelf een potentiële dreiging te worden. Het scannen van SSL-verkeer kan hier een uitkomst bieden. Cybercriminelen weten dat encryptie de standaard is voor het beschermen van data. Zij weten echter ook dat organisaties het merendeel van hun encrypted verkeer nog steeds niet scannen. Uit het ThreatLabZ State of Encrypted Attacks-rapport bleek dan ook dat de Zscaler-cloud tussen januari en september 2020 zo’n 6,6 miljard securitydreigingen blokkeerde die verborgen waren in versleuteld verkeer. Dit is een gemiddelde toename van 260% ten opzichte van 2019. Deze cijfers tonen het enorme risico van encrypted verkeer wanneer het zonder inspectie binnenkomt in het bedrijfsnetwerk. Om deze reden zou SSL-scanning een belangrijke component moeten worden van de beveiligingsmaatregelen van iedere organisatie.

Deze HydroJiin-campagne gebruikt verschillende payloads en infectie-vectoren, van commodity RAT’s tot custom malware, e-mail-spam en backdooring/masquerading als gekraakte software. Een aantal unieke aspecten van deze campagne zijn:

  • Multilevel infectieketen van payloads;
  • Op maat gemaakte python-based backdoor uitgevoerd naast andere RAT’s (Netwired en Quasar);
  • Controle van python voor macOS, wat aangeeft dat er in de toekomst meer platformonafhankelijke functionaliteit mogelijk is;
  • Campagne is gerelateerd aan een dreigingsactor die betrokken is bij de distributie van verschillende kwaadaardige tools via een dedicated malware e-commerce website;
  • Mogelijkheid van backdoored malware payload vergelijkbaar met CobianRAT;
  • Niet zeldzaam, wel intensief gebruik van pastebin voor hosten van encoded payloads.
De infectie start met een downloader die verschillende payloads downloadt. Zscaler kon de leveringsvector van deze downloader niet bevestigen, maar vermoedt het gebruik van spam-e-mails en gekraakte software, zoals in eerdere campagnes. Als de aanvallers initiële compromittering eenmaal bereiken, downloadt de downloader drie bestanden:
  • Injector - Wordt gebruikt als een loader om gedownloade payloads in legitieme processen te injecteren.
  • Netwired RAT - Een commodity RAT-malware die wordt gebruikt om geïnfecteerde systemen te beheren en informatie te stelen.
  • DownloaderShellcode - Obfuscated Meterpreter-based shellcode om verdere payloads te downloaden.
    • Deze shellcode downloadt een Pyrome python backdoor. Deze zal daarnaast ook een socat en xmring miner downloaden en uiteindelijk zal xmring miner een andere RAT downloaden, genaamd Quasar.

Conclusie

HydroJiin gaat al een tijdje mee. Hij verkoopt meerdere malware-types naast het uitvoeren van zijn eigen campagnes. De malware-payload download-stats van pastebin geven aan dat hij redelijk succesvol is. Deze actor mag dan wel niet enorm geavanceerd zijn, hij is wel volhardend door verschillende tools, technieken en methoden te gebruiken om zijn kansen op succes te vergroten. SSL-inspectie is essentieel om dreigingen die versleuteld verkeer misbruiken om hun kwaadaardige intenties te verbloemen, te detecteren en blokkeren. Het Zscaler ThreatLabZ-team zal deze campagne blijven volgen en monitoren.

Bezoek de website voor meer informatie en een technische analyse van deze campagne: https://www.zscaler.com/blogs/security-research/look-hydrojiin-campaign.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Zscaler

Zscaler stelt grote, wereldwijde organisaties in staat om veilig hun netwerken en applicaties te transformeren voor een mobile- en cloud-first wereld. De belangrijkste services, Zscaler Internet Access en Zscaler Private Access, zorgen voor snelle, veilige verbindingen tussen gebruikers en applicaties, ongeacht apparaat, locatie of netwerk. Zscaler-services zijn 100% cloud-gebaseerd en bieden de eenvoud, verhoogde beveiliging en verbeterde gebruikerservaring die traditionele appliances of hybride oplossingen niet kunnen evenaren. Zscaler wordt gebruikt in zeer veel landen en heeft een multi-tenant, gedistribueerd cloudbeveiligingsplatform dat duizenden klanten beschermt tegen cyberaanvallen en dataverlies.
Meer over Zscaler

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191030101402.jpg
De grootste Nederlandse site over Android
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030103431.png
Conference by app developers, for app developers!
20191029200614.jpg
Drive value with data
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191029224512.jpg
Het no-nonsense internetbureau
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.