SecBoard
Zurück zur Übersicht

HelloNet campaign — new malicious modules launched through the ViPNet update system

Securelist·
Originalartikel lesen bei Securelist

Eine neue APT-Angriffskampagne namens "HelloNet" nutzt das ViPNet-Update-System, um bösartige Module wie "HelloInjector" und "HelloProxy" zu verbreiten. Betroffen sind große russische Organisationen aus Regierung, Energie, Transport, Bildung, Logistik und Industrie. Unternehmen sollten ihre Systeme auf die genannten Indikatoren für Kompromittierung (IoCs) und TTPs überprüfen und entsprechende Erkennungsregeln implementieren, um die Bedrohung zu identifizieren und zu neutralisieren.

Kurzfassung

Eine neue APT-Kampagne namens "HelloNet" verbreitet bösartige Module wie "HelloInjector" und "HelloProxy" über das ViPNet-Update-System. Betroffen sind große russische Organisationen in verschiedenen Sektoren. Unternehmen, die ViPNet nutzen, sollten ihre Systeme auf IoCs und TTPs überprüfen und Erkennungsregeln implementieren.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Große russische Organisationen aus den Bereichen Regierung, Energie, Transport, Bildung, Logistik und Industrie, die das ViPNet-Update-System nutzen.

Warum relevant

Die Kampagne nutzt ein vertrauenswürdiges Update-System zur Verbreitung von Malware, was die Erkennung erschwert und eine weitreichende Kompromittierung ermöglicht. Die Angreifer können Persistenz erlangen und den Datenverkehr umleiten.

Realistisches Worst Case

Umfassende Kompromittierung von Systemen, Datenexfiltration und die Etablierung einer langfristigen Präsenz im Netzwerk durch die Nutzung eines legitimen Update-Kanals.

Handlungsempfehlung

Überprüfung der Systeme auf die genannten IoCs und TTPs, Implementierung aktualisierter Erkennungsregeln und Überwachung des Netzwerkverkehrs, insbesondere im Zusammenhang mit ViPNet-Komponenten.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Integrität Ihrer ViPNet-Installationen und Update-Prozesse auf Anzeichen von Manipulation oder unerwarteten Modulen.
  • Suchen Sie in Ihren Endpunktsicherheitslösungen und Protokollen nach den Modulen "HelloInjector" und "HelloProxy" oder deren Hashes (nicht im Artikel angegeben).
  • Überwachen Sie den Netzwerkverkehr, der von ViPNet-Komponenten ausgeht, auf ungewöhnliche Verbindungen oder Proxy-Aktivitäten.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1195 Supply Chain CompromiseHighnutzt das ViPNet-Update-System, um bösartige Module ... zu verbreiten
PersistenceT1574 DLL SideloadingHighAngreifer nutzen DLL Sideloading mit "HelloInjector", um Persistenz zu erreichen
Defense EvasionT1574 DLL SideloadingHighAngreifer nutzen DLL Sideloading mit "HelloInjector", um Persistenz zu erreichen
Command and ControlT1090 ProxyHighinjizieren "HelloProxy" für Traffic-Proxying und weitere Payload-Bereitstellung
Offene Punkte
  • Spezifische Indikatoren für Kompromittierung (IoCs) wie Dateinamen, Hashes oder IP-Adressen werden nicht im Artikel genannt.
  • Die genaue Methode, wie das ViPNet-Update-System kompromittiert wurde, ist nicht spezifiziert.
  • Details zu den spezifischen Payloads, die über "HelloProxy" bereitgestellt werden, sind nicht im Artikel enthalten.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Möglich
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir Windows extern erreichbar?
  • Haben wir SAP extern erreichbar?
  • Können wir Execution detektieren?
  • Können wir Persistence detektieren?
Themen
Malware TechnologiesTargeted attacksAPTVPN