SecBoard
Zurück zur Übersicht

Blogspot-Hosted Payloads Delivered in ‘Veil#Drop’ Attacks

SecurityWeek·
Originalartikel lesen bei SecurityWeek

Die „Veil#Drop“-Angriffe nutzen kompromittierte Websites und Blogspot, um über PowerShell und dateilose Techniken den PureLog-Informationsstealer zu verbreiten. Betroffen sind Nutzer, deren Systeme durch diese hochentwickelte Methode infiltriert werden könnten. Es wird empfohlen, Wachsamkeit zu zeigen und Sicherheitssysteme aktuell zu halten, um solche Angriffe zu erkennen und abzuwehren.

Kurzfassung

Die „Veil#Drop“-Angriffe nutzen kompromittierte Websites und Blogspot, um den PureLog-Informationsstealer zu verbreiten. Diese Angriffe verwenden PowerShell und dateilose Techniken, um die Erkennung zu umgehen. Nutzer sollten wachsam sein und ihre Sicherheitssysteme aktualisieren, um sich vor dieser hochentwickelten Bedrohung zu schützen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Nutzer, deren Systeme durch hochentwickelte dateilose Angriffe infiltriert werden könnten. Die im Artikel erwähnte Branche ist 'Behörden'.

Warum relevant

Organisationen sind einem erhöhten Risiko ausgesetzt, dass sensible Informationen durch den PureLog-Informationsstealer gestohlen werden, der über schwer erkennbare dateilose Techniken verbreitet wird. Die Nutzung von Blogspot und kompromittierten Websites erschwert die Erkennung durch herkömmliche Sicherheitslösungen.

Realistisches Worst Case

Der Diebstahl von Anmeldeinformationen und anderen sensiblen Daten durch den PureLog-Informationsstealer, was zu weiteren Kompromittierungen oder finanziellen Verlusten führen kann.

Handlungsempfehlung

Sicherstellen, dass Sicherheitssysteme, insbesondere EDR-Lösungen, auf dem neuesten Stand sind und dateilose Techniken erkennen können. Mitarbeiter sollten für Phishing-Angriffe sensibilisiert werden, die zu kompromittierten Websites führen könnten.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Protokolle Ihrer Endpoint Detection and Response (EDR)-Lösungen auf PowerShell-Aktivitäten, die von untypischen Prozessen oder Benutzern initiiert wurden.
  • Validieren Sie, ob Ihre Webfilter- und Proxy-Lösungen den Zugriff auf bekannte Blogspot-Domains blockieren oder überwachen, die für die Bereitstellung von Payloads missbraucht werden könnten.
  • Testen Sie die Erkennungsfähigkeiten Ihrer Antiviren- und EDR-Lösungen gegen dateilose Ausführungstechniken, insbesondere solche, die PowerShell nutzen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1190 Exploit Public-Facing ApplicationLowkompromittierte Websites
ExecutionT1059.001 Command and Scripting Interpreter: PowerShellHighüber PowerShell
Defense EvasionT1027 Obfuscated Files or InformationLowdateilose Techniken
Defense EvasionT1218 System Binary Proxy ExecutionLowdateilose Techniken
Command and ControlT1102.002 Web Service: BlogspotHighBlogspot-Hosted Payloads
CollectionT1005 Data from Local SystemHighPureLog-Informationsstealer
Offene Punkte
  • Es wird nicht spezifiziert, welche spezifischen Schwachstellen auf kompromittierten Websites ausgenutzt werden.
  • Es werden keine spezifischen IOCs (Indicators of Compromise) wie Hashes oder C2-Domains genannt.
  • Die genaue Methode, wie Nutzer auf die kompromittierten Websites oder Blogspot-Links gelockt werden, wird nicht detailliert beschrieben (z.B. Phishing-Typen).

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Execution detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Themen
Malware & Threats