SecBoard
Zurück zur Übersicht

New MODBEACON RAT Uses gRPC Streaming for Encrypted C2 Traffic

The Hacker News·
Originalartikel lesen bei The Hacker News

Die chinesische Hackergruppe Silver Fox setzt den neuen Rust-basierten RAT namens MODBEACON ein, der gRPC-Streaming für verschlüsselten C2-Verkehr nutzt. Betroffen sind Nutzer, die Malware über gefälschte Installer mittels SEO-Poisoning herunterladen. Es wird dringend empfohlen, Software nur von vertrauenswürdigen Quellen zu beziehen und auf verdächtige SEO-Ergebnisse zu achten.

Kurzfassung

Die chinesische Hackergruppe Silver Fox setzt den neuen Rust-basierten RAT namens MODBEACON ein. Dieser RAT nutzt gRPC-Streaming für verschlüsselten C2-Verkehr. Die Verbreitung erfolgt über gefälschte Installer mittels SEO-Poisoning, wodurch Nutzer, die Malware herunterladen, betroffen sind.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Nutzer, die Malware über gefälschte Installer mittels SEO-Poisoning herunterladen.

Warum relevant

Organisationen sind gefährdet, wenn Mitarbeiter Software von nicht vertrauenswürdigen Quellen herunterladen, da dies zur Installation von MODBEACON führen kann, einem RAT mit verschlüsseltem C2-Verkehr, der schwer zu erkennen ist.

Realistisches Worst Case

Erfolgreiche Installation von MODBEACON, was der Hackergruppe Silver Fox ermöglicht, die Kontrolle über betroffene Systeme zu übernehmen und sensible Daten zu exfiltrieren, ohne dass der C2-Verkehr leicht erkannt wird.

Handlungsempfehlung

Software ausschließlich von vertrauenswürdigen Quellen beziehen und Mitarbeiter für die Gefahren von SEO-Poisoning und gefälschten Installern sensibilisieren.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie Ihre Netzwerk-Perimeter-Lösungen auf die Erkennung von gRPC-Streaming-Verkehr, der von unbekannten oder verdächtigen Endpunkten ausgeht.
  • Führen Sie regelmäßige Audits der Software-Installationspraktiken durch und stellen Sie sicher, dass nur genehmigte Software aus vertrauenswürdigen Quellen verwendet wird.
  • Testen Sie die Effektivität Ihrer Webfilter und DNS-Sicherheitslösungen gegen bekannte SEO-Poisoning-Taktiken und verdächtige Domains.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighMalware über gefälschte Installer mittels SEO-Poisoning herunterladen
Command and ControlT1071 Application Layer ProtocolHighgRPC-Streaming für verschlüsselten C2-Verkehr
Defense EvasionT1027 Obfuscated Files or InformationLowverschlüsselten C2-Verkehr
Offene Punkte
  • Spezifische Branchen oder geografische Regionen, die von Silver Fox ins Visier genommen werden, sind nicht im Artikel genannt.
  • Details zu den genauen Techniken des SEO-Poisoning sind nicht im Artikel spezifiziert.
  • Konkrete Indikatoren für Kompromittierung (IOCs) sind nicht im Artikel aufgeführt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Möglich
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Resource Development detektieren?

MITRE ATT&CK Kill Chain (3 Techniken)