< Zurück
Blog

Neue PlugX-Kampagnen, die Steam nutzen

Eine Person hält ein Smartphone in der Hand, während sie mit einem digitalen Code im Hintergrund interagiert, was auf die Themen Technologie und Cybersicherheit hindeutet. Das Bild stellt PlugX Utilising Steam dar.

Der PlugX-Remote-Access-Trojaner (RAT), der seit 2008 aktiv ist und in erster Linie chinesischen, staatlich gesponserten Bedrohungsakteuren zugeschrieben wird, entwickelt sich ständig weiter. Ursprünglich wurde er über Phishing-E-Mails und gefälschte Dateien verbreitet, doch seit Februar 2023 ist eine neue Variante aufgetaucht. Diese Variante verbreitet sich über infizierte USB-Laufwerke, was eine deutliche Veränderung der Verbreitungsstrategie darstellt. Vor allem die jüngsten Kampagnen haben die Zielgruppe von Regierungsstellen auf zivile Nutzer ausgeweitet, indem sie Plattformen wie Steam nutzen und so ihre Wirkung und den potenziellen Opferkreis vergrößern. Die strategische Ausrichtung auf Zivilisten kann damit zusammenhängen, dass die Wahrscheinlichkeit steigt, dass viele Zivilisten, insbesondere diejenigen, die in kritischen Sektoren arbeiten, Zugang zu Daten haben, die für chinesische staatlich geförderte Akteure von Interesse sind. Angesichts der Raffinesse dieser Bedrohungen ist die Zusammenarbeit mit einem Managed Detection and Response (MDR)-Dienst wie Ontinue von entscheidender Bedeutung für ein proaktives Bedrohungsmanagement und eine robuste Verteidigung.

Historischer Kontext und Entwicklung

PlugX wurde in großem Umfang von Cyberspionage-Gruppen mit Sitz in China und in jüngster Zeit von der Ransomware-Gruppe BlackBasta genutzt, die vermutlich aus Russland oder Osteuropa stammt. Diese regionenübergreifende Nutzung unterstreicht die Vielseitigkeit von PlugX und seine Attraktivität für verschiedene Bedrohungsakteure. Zu den prominenten Opfern gehören die japanische, vietnamesische, indische und philippinische Regierung sowie US-amerikanische Rüstungsunternehmen, deren Operationen in erster Linie darauf abzielen, sensible Informationen zu exfiltrieren, um strategische Vorteile zu erlangen.

Fortschrittliche Liefermechanismen

In der Vergangenheit nutzte PlugX Phishing-E-Mails und bösartige Dateien für die Verbreitung. Die neue USB-Wurm-Variante stellt eine ausgeklügelte Weiterentwicklung seiner Verbreitungsmechanismen dar. Diese Variante startet ihre Nutzlast beim Einstecken eines infizierten USB-Laufwerks, was eine Verlagerung hin zur Nutzung von Wechseldatenträgern zur Verbreitung von Malware darstellt.

Technische Analyse der Dampfvariante

Erste Ausführung und Persistenz

Wie bei den meisten PlugX-Varianten ist auch hier das DLL-Seitenladen die Haupttaktik. Beim Einstecken des USB-Sticks wird eine von Beijing Hongdao Changxing International Trade Co., Ltd. signierte ausführbare Datei namens “.exe” gestartet. Diese Ausführung löst die Erstellung von steam_monitor.exe (signiert von Valve) zusammen mit mehreren anderen DLL-Dateien und ausführbaren Dateien aus. Die meisten dieser Dateien dienen als Verschleierungsschicht, nur einige wenige führen die eigentlichen bösartigen Aufgaben aus.

Änderung des Registers

Die “.exe”-Datei erstellt einen Registrierungsschlüssel namens “Steam Monitor” unter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Dieser Registrierungseintrag sorgt dafür, dass bei der Benutzeranmeldung automatisch eine Datei namens crashhandler.dll ausgeführt wird, die auch nach einem Neustart des Systems erhalten bleibt. Diese DLL-Datei startet dann IDMan.exe, um die C2-Verbindung zu starten.

Command-and-Control (C2) Kommunikation

IDMan.exe aktiviert IDMGetAll.dll, das eine C2-Verbindung mit der IP-Adresse 103[.]164[.]203[.]164 über Port 443 herstellt. Diese malaysische IP-Adresse, von der bekannt ist, dass sie mit PlugX in Verbindung steht, wurde vor etwa elf Monaten wegen bösartiger Aktivitäten auffällig. Diese C2-Verbindung kann sowohl für die Befehls- und Kontrollfunktion als auch für die Datenexfiltration genutzt werden.

Auslesen von Zugangsdaten und Datenexfiltration

steam_monitor.exe nutzt werfault.exe, einen systemeigenen Windows-Fehlerberichterstattungsprozess, um gespeicherte Browser-Anmeldeinformationen auszulesen. Diese Technik ist ein Beispiel für die ausgefeilten Methoden, mit denen bösartige Aktivitäten mit legitimen Systemprozessen vermischt werden, um so der Entdeckung zu entgehen.

Begründung für ziviles Targeting

Viele Zivilisten, insbesondere diejenigen, die in kritischen Infrastrukturbereichen, Technologieunternehmen und im Verteidigungssektor beschäftigt sind, haben Zugang zu sensiblen Daten, die für chinesische Bedrohungsakteure von strategischem Interesse sind. Indem PlugX seine Reichweite über Plattformen wie Steam auf zivile Nutzer ausdehnt, erhöht es sein Potenzial, in Umgebungen einzudringen, in denen wertvolle Informationen zugänglich sind. Dieser Ansatz erweitert nicht nur den Kreis der potenziellen Opfer, sondern erhöht auch die Wahrscheinlichkeit, an hochwertige Informationen zu gelangen.

Vergleichende Analyse mit Mandiant-Ergebnissen

Die Ausnutzungstechniken von PlugX, insbesondere das DLL-Side-Loading und die Ausnutzung nicht nativer Prozesse, stimmen mit den Mustern überein, die in verschiedenen Mandiant-Berichten zu anderen hochentwickelten Schadprogrammen beobachtet wurden. So wurden beispielsweise ähnliche DLL-Side-Loading-Methoden in Kampagnen anderer staatlich gesponserter Bedrohungen dokumentiert, was eine gängige Taktik bei fortschrittlichen, dauerhaften Bedrohungen (APTs) verdeutlicht.

Empfehlungen für mehr Sicherheit

Die Komplexität und Heimlichkeit der PlugX Steam-Variante verdeutlicht die Notwendigkeit robuster Sicherheitsmaßnahmen. Hier sind einige wichtige Empfehlungen:

  1. Implementierung fortschrittlicher EDR-Lösungen (Endpoint Detection and Response):
    1. Setzen Sie EDR-Tools ein, die Bedrohungen durch Verhaltensanalyse und Anomalieerkennung identifizieren und entschärfen können.
  2. Regelmäßige Sicherheitsaudits und Penetrationstests durchführen:
    1. Durchführung umfassender Sicherheitsbewertungen, um Schwachstellen zu ermitteln und robuste Schutzmechanismen zu gewährleisten.
  3. Verbesserung der Sensibilisierung und Schulung der Benutzer:
    1. Führen Sie regelmäßig Schulungen durch, um die Nutzer über Phishing-Angriffe und sichere USB-Praktiken aufzuklären.
  4. Einführen eines Managed Detection and Response (MDR) Dienstes:
    1. Arbeiten Sie mit einem MDR-Dienst wie Ontinue zusammen, um Zugang zu kontinuierlicher Überwachung, fortschrittlichen Bedrohungsdaten und schnellen Reaktionsmöglichkeiten auf Vorfälle zu erhalten.

Die Rolle von Ontinue bei der Eindämmung von PlugX-Bedrohungen

Ontinue bietet einen umfassenden MDR-Service, der auf die hochentwickelten Bedrohungen durch Malware wie PlugX ausgerichtet ist. Die wichtigsten Vorteile sind:

  • 24/7 Überwachung von Bedrohungen:
    • Kontinuierliche Überwachung Ihrer IT-Umgebung zur Erkennung von und Reaktion auf Bedrohungen in Echtzeit.
  • Erweiterte Bedrohungsanalyse:
    • Nutzen Sie modernste Bedrohungsdaten, um neuen Bedrohungen und Schwachstellen immer einen Schritt voraus zu sein.
  • Schnelle Reaktion auf Vorfälle:
    • Schnelle und wirksame Reaktion auf Vorfälle, um die Auswirkungen von Sicherheitsverletzungen einzudämmen und abzuschwächen.
  • Proaktiv Threat Hunting:
    • Führen Sie eine proaktive Bedrohungssuche durch, um potenzielle Bedrohungen zu identifizieren und zu neutralisieren, bevor sie Schaden anrichten können.

Schlussfolgerung

Die Steam-Variante von PlugX stellt eine bedeutende Entwicklung in der Malware dar und demonstriert die Fähigkeit, sowohl staatliche als auch zivile Einrichtungen anzugreifen. Indem PlugX beliebte Plattformen wie Steam ausnutzt, vergrößert es nicht nur seine potenzielle Opferbasis, sondern verbessert auch seine operative Tarnung und Ausdauer. Um solche hochentwickelten Bedrohungen wirksam zu bekämpfen, ist es unerlässlich, fortschrittliche Sicherheitsmaßnahmen zu ergreifen und eine Partnerschaft mit einem zuverlässigen MDR-Dienst wie Ontinue in Betracht zu ziehen. Auf diese Weise können Unternehmen eine robuste Verteidigung gegen sich entwickelnde Cyber-Bedrohungen sicherstellen und die Integrität ihrer kritischen Ressourcen bewahren.

Teilen

Artikel von

William Bailey

Leitender SOC-Analyst

Will ist ein leitender SOC-Analyst bei Ontinue.

Schlüsselwörter

Verwandte Artikel

Ein digitaler Hintergrund mit abstrakten Schaltkreismustern in Violett- und Blautönen, auf dem der Titel 'Ontinue 2023 Threat Intelligence Report' deutlich sichtbar ist.
E-Book
Bericht zur Bedrohungslage 2023

Weiterlesen >
Drei Kollegen diskutieren in einem Hightech-Büro über Datenanalyse. Zwei Frauen und ein Mann konzentrieren sich auf einen Computerbildschirm und betonen die Zusammenarbeit im Hinblick auf Sicherheitsbedrohungen im Jahr 2023.
Webinar
Expertengremium: Ontinue-Bedrohungsbericht 2024

Webinar ansehen >
Eine Person, von hinten gesehen, mit Kopfhörern, an einem Schreibtisch sitzend, vor mehreren Computerbildschirmen, auf denen Daten und Grafiken angezeigt werden, mit dem Text "ION Threat Advisory" (ION-Bedrohungswarnung) in weißer Schrift deutlich sichtbar.
Blog
ION-Hinweis: Juli 2024 Microsoft Patch Tuesday 

Weiterlesen >