HelloNet campaign — new malicious modules launched through the ViPNet update system
Eine neue APT-Angriffskampagne namens "HelloNet" nutzt das ViPNet-Update-System, um bösartige Module wie "HelloInjector" und "HelloProxy" zu verbreiten. Betroffen sind große russische Organisationen aus Regierung, Energie, Transport, Bildung, Logistik und Industrie. Unternehmen sollten ihre Systeme auf die genannten Indikatoren für Kompromittierung (IoCs) und TTPs überprüfen und entsprechende Erkennungsregeln implementieren, um die Bedrohung zu identifizieren und zu neutralisieren.
Eine neue APT-Kampagne namens "HelloNet" verbreitet bösartige Module wie "HelloInjector" und "HelloProxy" über das ViPNet-Update-System. Betroffen sind große russische Organisationen in verschiedenen Sektoren. Unternehmen, die ViPNet nutzen, sollten ihre Systeme auf IoCs und TTPs überprüfen und Erkennungsregeln implementieren.
Große russische Organisationen aus den Bereichen Regierung, Energie, Transport, Bildung, Logistik und Industrie, die das ViPNet-Update-System nutzen.
Die Kampagne nutzt ein vertrauenswürdiges Update-System zur Verbreitung von Malware, was die Erkennung erschwert und eine weitreichende Kompromittierung ermöglicht. Die Angreifer können Persistenz erlangen und den Datenverkehr umleiten.
Umfassende Kompromittierung von Systemen, Datenexfiltration und die Etablierung einer langfristigen Präsenz im Netzwerk durch die Nutzung eines legitimen Update-Kanals.
Überprüfung der Systeme auf die genannten IoCs und TTPs, Implementierung aktualisierter Erkennungsregeln und Überwachung des Netzwerkverkehrs, insbesondere im Zusammenhang mit ViPNet-Komponenten.
- ▸Überprüfen Sie die Integrität Ihrer ViPNet-Installationen und Update-Prozesse auf Anzeichen von Manipulation oder unerwarteten Modulen.
- ▸Suchen Sie in Ihren Endpunktsicherheitslösungen und Protokollen nach den Modulen "HelloInjector" und "HelloProxy" oder deren Hashes (nicht im Artikel angegeben).
- ▸Überwachen Sie den Netzwerkverkehr, der von ViPNet-Komponenten ausgeht, auf ungewöhnliche Verbindungen oder Proxy-Aktivitäten.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1195 Supply Chain Compromise | High | nutzt das ViPNet-Update-System, um bösartige Module ... zu verbreiten |
| Persistence | T1574 DLL Sideloading | High | Angreifer nutzen DLL Sideloading mit "HelloInjector", um Persistenz zu erreichen |
| Defense Evasion | T1574 DLL Sideloading | High | Angreifer nutzen DLL Sideloading mit "HelloInjector", um Persistenz zu erreichen |
| Command and Control | T1090 Proxy | High | injizieren "HelloProxy" für Traffic-Proxying und weitere Payload-Bereitstellung |
- Spezifische Indikatoren für Kompromittierung (IoCs) wie Dateinamen, Hashes oder IP-Adressen werden nicht im Artikel genannt.
- Die genaue Methode, wie das ViPNet-Update-System kompromittiert wurde, ist nicht spezifiziert.
- Details zu den spezifischen Payloads, die über "HelloProxy" bereitgestellt werden, sind nicht im Artikel enthalten.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Möglich
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Haben wir Windows extern erreichbar?
- Haben wir SAP extern erreichbar?
- Können wir Execution detektieren?
- Können wir Persistence detektieren?