MÜNCHEN (IT BOLTWISE) – In der Welt der Cyberkriminalität sind Hacker ständig auf der Suche nach neuen Wegen, um ihre Aktivitäten zu verschleiern und Sicherheitsmaßnahmen zu umgehen. Ein aktuelles Beispiel ist die Nutzung von Cloudflare-Tunneln und DNS Fast-Flux durch die Hackergruppe Gamaredon, um ihre Malware GammaDrop zu tarnen.
- Unsere KI-News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren und abonnieren!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Die Hackergruppe Gamaredon, auch bekannt unter Namen wie BlueAlpha oder Aqua Blizzard, hat eine neue Taktik entwickelt, um ihre schädlichen Aktivitäten zu verbergen. Durch den Einsatz von Cloudflare-Tunneln wird die Infrastruktur, die die Malware GammaDrop hostet, verschleiert. Diese Methode ist Teil einer laufenden Spear-Phishing-Kampagne, die seit Anfang 2024 ukrainische Einrichtungen ins Visier nimmt. Ziel ist es, die Visual Basic Script Malware zu verbreiten, wie die Insikt Group von Recorded Future berichtet.
Die Gruppe, die seit 2014 aktiv ist und mit dem russischen Geheimdienst FSB in Verbindung gebracht wird, nutzt zudem DNS Fast-Flux, um die GammaLoad Command-and-Control-Infrastruktur zu verschleiern. Diese Technik erschwert die Nachverfolgung und Unterbrechung der Kommunikation mit kompromittierten Systemen erheblich. Die Verwendung von Cloudflare-Tunneln wurde bereits im September 2024 von der slowakischen Sicherheitsfirma ESET dokumentiert, als Teil von Angriffen auf die Ukraine und verschiedene NATO-Länder.
Obwohl die Gruppe als wenig auf Tarnung bedacht gilt, versucht sie dennoch, Sicherheitsprodukte zu umgehen und den Zugang zu kompromittierten Systemen aufrechtzuerhalten. Gamaredon setzt dabei auf einfache Downloader und Backdoors, die regelmäßig aktualisiert und obfuskiert werden. Die Werkzeuge sind darauf ausgelegt, wertvolle Daten aus Webanwendungen, E-Mail-Clients und Instant-Messaging-Apps wie Signal und Telegram zu stehlen.
Zu den eingesetzten Tools gehören unter anderem PteroPSLoad, PteroX und PteroSand, die für das Herunterladen von Payloads verantwortlich sind, sowie PteroCDrop, das Visual Basic Script Payloads ablegt. PteroClone nutzt das rclone-Utility zur Bereitstellung von Payloads, während PteroLNK USB-Laufwerke weaponisiert. PteroDig sorgt für die Persistenz durch LNK-Dateien im Desktop-Ordner.
Die jüngsten Angriffe beinhalten Phishing-E-Mails mit HTML-Anhängen, die HTML-Smuggling-Techniken nutzen, um den Infektionsprozess über eingebetteten JavaScript-Code zu aktivieren. Diese Anhänge enthalten ein 7-Zip-Archiv, das eine bösartige LNK-Datei enthält, die GammaDrop über mshta.exe ausliefert. GammaDrop ist ein HTA-Dropper, der einen benutzerdefinierten Loader namens GammaLoad auf die Festplatte schreibt, der dann Kontakt zu einem C2-Server aufnimmt, um weitere Malware abzurufen.
Die Nutzung von Cloudflare-Tunneln und DNS-over-HTTPS (DoH) durch GammaLoad, um die C2-Infrastruktur zu erreichen, zeigt, wie geschickt BlueAlpha legitime Dienste für bösartige Zwecke einsetzt. Diese Techniken erschweren die Erkennung durch traditionelle Sicherheitssysteme erheblich. Experten gehen davon aus, dass BlueAlpha weiterhin an der Verfeinerung seiner Verschleierungstechniken arbeiten wird, was insbesondere für Organisationen mit begrenzten Bedrohungserkennungskapazitäten eine Herausforderung darstellt.
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. IT BOLTWISE® schließt jegliche Regressansprüche aus.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Cyberangriffe: Cloudflare-Tunnel und DNS Fast-Flux als Tarnung für GammaDrop-Malware".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Cyberangriffe: Cloudflare-Tunnel und DNS Fast-Flux als Tarnung für GammaDrop-Malware" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Cyberangriffe: Cloudflare-Tunnel und DNS Fast-Flux als Tarnung für GammaDrop-Malware" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.