Inhalte
- Einführung
- Hauptziele
- Betroffene Branchen
- Geografischer Fokus
- Geopolitischer Kontext
- Infektionskette
- Zeitleiste der Aktivität
- Erste Erkenntnisse
- Einsicht in die Köderdokumente
- Technische Analyse
- Phase 1 – Böswillige Archivzustellung
- Phase 2 – Böswillige Ausführung der Abkürzung
- Phase 3 – HOPPINGANT JavaScript Loader
- Infrastruktur und Zuordnung
- Fazit
- SEQRITE Schutz
- Kompromissindikatoren (IOCs)
- MITRE ATT&CK-Mapping
- Autoren
Einführung
Seqrite Das APT-Team von Labs überwacht Bedrohungen weltweit und hat kürzlich eine Kampagne identifiziert, die mehrere Länder ins Visier nimmt. Auch der Nahe Osten wird im Fokus behalten, insbesondere angesichts der aktuellen geopolitischen Spannungen. Interessant an dieser Kampagne ist, dass verschiedene Regionen innerhalb eines ähnlichen Zeitraums angegriffen werden, wobei durchgehend dieselben Infektionstechniken zum Einsatz kommen.
In diesem Blogbeitrag analysieren wir die Infektionskette dieser Kampagne. Sie beginnt mit einem schädlichen Archiv und führt schließlich zur Bereitstellung eines legitimen Tools, das vom Angreifer missbraucht wird. Wir betrachten außerdem die in der Kampagne verwendete Infrastruktur, in der die Angreifer öffentliche, anonyme File-Sharing-Websites nutzen, um ihre Schadsoftware zu hosten und zu verbreiten.
Abschließend ordnen wir die in dieser Kampagne beobachteten Techniken dem MITRE ATT&CK-Framework zu und betrachten die von den Angreifern genutzte Infrastruktur.
Hauptziele
Betroffene Branchen
- Regierungsbehörden
- Verteidigungs- und Militärorganisationen
- Abteilungen für auswärtige Angelegenheiten und internationale Zusammenarbeit
- Politik- und diplomatische Institutionen
- Energie- und strategische Ressourcensektoren
Geografischer Fokus
- Algerien
- Mongolei
- Ukraine
- Kuwait
Geopolitischer Kontext
Die in dieser Kampagne ins Visier genommenen Länder scheinen auf den ersten Blick nicht miteinander verbunden zu sein, doch jedes von ihnen nimmt eine Schlüsselposition im aktuellen geopolitischen Umfeld ein. Die Ukraine steht weiterhin im Zentrum eines aktiven Konflikts mit Russland, wobei sich die hybriden Taktiken im Vorfeld des Jahres 2026 verschärfen werden. Algerien, einer der größten Energieexporteure Nordafrikas, befindet sich im Spannungsfeld konkurrierender europäischer, russischer und chinesischer Interessen. Dies gilt insbesondere für... relevanten während sich Algerien und Marokko den Beziehungen annähern und Nordafrika näher an das Zentrum der regionalen US-Politik rückt.
Die Position der Mongolei ist zunehmend komplexer geworden, da kürzlich Die vertieften Beziehungen zu China und Russland bei gleichzeitiger Aufrechterhaltung westlicher Partnerschaften machen die Mongolei zu einem attraktiven Ziel für die Spionageabwehr mehrerer konkurrierender Staaten. Das gegen die Mongolei eingesetzte Argument der „Ausweitung der Zusammenarbeit mit China“ spiegelt diese Spannungen direkt wider. Kuwait bleibt ein wichtiger Sicherheitspartner am Golf mit laufenden Rüstungsbeschaffungsaktivitäten, und die Golfregion insgesamt sieht sich weiterhin destabilisierenden militärischen Aktivitäten und strategischem Wettbewerb ausgesetzt.
Infektionskette
Zeitleiste der Aktivität
Die folgende Zeitleiste zeigt die Abfolge der Kampagnen, die wir im Rahmen unserer Recherchen beobachtet haben.
Erste Erkenntnisse
Bei unserer Suche nach schädlichen Spear-Phishing-Artefakten stießen wir auf VirusTotal auf die erste interessante Bedrohung im Zusammenhang mit dieser Kampagne. Dort entdeckten wir eine Datei mit dem Namen وزارة_السكن_والعمران_والمدينة.png.zip. Laut den verfügbaren Informationen wurde die Datei am 24. Februar aus Algerien hochgeladen. Der Dateiname bedeutet übersetzt „Ministerium für Wohnungsbau, Stadtentwicklung und Stadt“, was darauf hindeutet, dass die Köderdatei eine offizielle Regierungsbehörde imitiert. Aufgrund dieser Namenskonvention zielten die Angreifer vermutlich auf Mitarbeiter von Regierungsbehörden ab, die für Wohnungsbau, Stadtentwicklung oder Kommunalverwaltung zuständig sind. Als wir dieses Spear-Phishing-Element entdeckten, vermuteten wir zunächst, es handele sich um eine regionale Aktivität, die auf ein bestimmtes Land abzielte.
Als wir jedoch unsere Forschung fortsetzten, identifizierten wir eine weitere Stichprobe, die dieselbe Infrastruktur und ähnliche Techniken nutzte. Diese Probe zielte auf die Mongolei und verwendete den Köder Хятад улстай хамтын ажиллагаагаа өргөжүүлж байна.zip. Nach der Übersetzung des Dateinamens „Ausbau der Zusammenarbeit mit China“, Dies lässt vermuten, dass sich das Angebot an Personen richtet, die in staatlichen Institutionen, diplomatischen Vertretungen oder Organisationen arbeiten, die sich mit internationaler Zusammenarbeit und auswärtigen Angelegenheiten befassen.
Bei weiteren Untersuchungen im März entdeckten wir zwei zusätzliche E-Mails, die offenbar zur selben Kampagne gehören. Eine der Köder-E-Mails trug den Namen „Algerian Ukrainian proposals for cooperation.zip“ und bezog sich auf die Zusammenarbeit zwischen Ländern. Vermutlich zielte sie auf Personen ab, die in diplomatischen Beziehungen, Regierungsbehörden oder Organisationen mit internationalen Partnerschaften tätig sind. Eine weitere, kürzlich entdeckte E-Mail trug den Ködernamen „Weapons requirements for the Kuwait Air Force.zip“. Dies lässt vermuten, dass die Angreifer möglicherweise versuchen, Einrichtungen des Verteidigungs- oder Militärbereichs ins Visier zu nehmen, insbesondere solche, die in den Bereichen Beschaffung, Logistik oder strategische Planung tätig sind.
Einsicht in die Köderdokumente
Die erste Datei aus der Kampagne, die wir in freier Wildbahn beobachteten, war وزارة_السكن_والعمران_والمدينة.png.zip. Der Dateiname ist in Arabisch geschrieben und bedeutet übersetzt „Ministerium für Wohnungsbau, Stadtentwicklung und Stadt“.
Das ZIP-Archiv enthält zwei Dateien: دعوة للمشاركة.lnk (übersetzt: „Einladung zur Teilnahme.lnk“) und وزارة_السكن_والعمران_والمدينة.png (übersetzt: „Ministerium für Wohnungsbau, Stadtentwicklung und Stadt.png“). Aufgrund der Dateinamen wirken beide Dokumente authentisch und dienen vermutlich dazu, Opfer zum Öffnen zu verleiten.
Nach eingehender Prüfung des Täuschungsbildes stellten wir fest, dass das Logo zu einem offiziellen Ministerium in Algerien gehört. Dies deutet darauf hin, dass die Angreifer das Logo wahrscheinlich nutzten, um Opfer anzugreifen, die möglicherweise mit staatlichen Institutionen oder verwandten Organisationen in Verbindung stehen.
Die zweite Probe, die wir gefunden haben, wurde kurz nach der Veröffentlichung der ersten eingereicht. Das Beispiel wurde ursprünglich in einer ZIP-Datei mit dem Namen Хятад улстай хамтын ажиллагаагаа өргөжүүлж байна.zip verpackt, was übersetzt „Ausweitung der Zusammenarbeit mit China“ bedeutet. Die ZIP-Datei enthält zwei Dateien: Хятад улстай хамтын ажиллагаагаа өргөжүүлж байна.lnk, was „Ausweitung der Zusammenarbeit mit China“ bedeutet, und ein Köderbild mit dem Namen Мон-Атом ХХК.jpg.
Das Bild enthält das Logo von MonAtom LLCEs handelt sich um ein staatliches Unternehmen in der Mongolei, das für die Uranexploration und die Entwicklung von Kernenergie zuständig ist. Dies deutet darauf hin, dass die Angreifer versuchten, sich auf eine Organisation aus dem mongolischen Nuklear- oder Energiesektor zu beziehen oder diese nachzuahmen. Die dritte gefundene Schadsoftware befand sich Anfang März und trug den Namen „Algerian Ukrainian proposals for cooperation.zip“.
Bei genauerer Betrachtung der ZIP-Datei stellten wir fest, dass sie zwei Dateien enthält: „Algerian Ukrainian proposals for cooperation.lnk“ und „MHUV.png“. Laut unseren Daten wurde diese Datei aus der Ukraine hochgeladen. Interessanterweise enthält sie dasselbe Logo wie das erste Beispiel, das sich an Algerien richtete und das Ministerium für Wohnungsbau, Stadtentwicklung und die Stadt erwähnte. Die Analyse des zeitlichen Ablaufs und des Köderthemas lässt vermuten, dass derselbe Akteur sowohl die Ukraine als auch Algerien ins Visier nimmt, denselben Köder verwendet und sich bei seinen Angriffen auf ein ähnliches Interessengebiet konzentriert.
Das aktuellste gefundene Beispiel vom 4. März war die Datei „WeaponsrequirementsfortheKuwaitAirForce.zip“. Diese Datei wurde ursprünglich aus Italien hochgeladen. Bei genauerer Untersuchung stellten wir jedoch fest, dass das Zielgebiet ein anderer geografischer Ort war. Die gefundene ZIP-Datei enthält zwei weitere Dateien: „Weapons requirements for the Kuwait Air Force.lnk“ und „Kuwait Armed Forces.png“.
Das Köderbild enthält das offizielle Emblem der kuwaitischen Streitkräfte, das wahrscheinlich verwendet wurde, um die Datei legitim erscheinen zu lassen und das Vertrauen der von dieser Bedrohungsgruppe ins Visier genommenen Opfer zu gewinnen.
Neben den oben erwähnten bildbasierten Ködern setzt der Angreifer auch ein weiteres Köderdokument vom entfernten C2-Server ein, was Teil der späteren Phase der Infektionskette ist.
Die Köderdokumente waren jedoch vollständig mit Nullen gefüllt, was unserer Ansicht nach wahrscheinlich dazu diente, die Aufmerksamkeit der Opfer abzulenken. In diesem Abschnitt haben wir die Köder in Form von Bildern und mit Nullen gefüllten Dokumenten betrachtet. Im nächsten Abschnitt werden wir die technische Analyse der gesamten Infektionskette untersuchen, die vom Angreifer verwendet wurde.
Technische Analyse
In diesem Abschnitt gehen wir auf die technischen Details der in dieser Kampagne verwendeten Infektionskette ein. Wie bereits erwähnt, folgen die beobachteten Kampagnen nahezu derselben Technik, obwohl die Köderdokumente unterschiedlich sind. Um das Verhalten anschaulich zu erklären, konzentrieren wir uns auf das aktuellste Beispiel.
Die Infektion beginnt mit einem ZIP-Archiv, das eine Verknüpfungsdatei und ein Köderbild enthält. Sobald das Opfer mit der Verknüpfungsdatei interagiert, werden die nächsten Schritte des Angriffs ausgelöst. In den späteren Phasen der Infektionskette werden zusätzliche Komponenten von einer öffentlichen Filesharing-Website heruntergeladen. Die Angreifer nutzen schließlich … Rclone, ein legitimes Werkzeug, für Datenexfiltrationszwecke.
Phase 1 – Böswillige Archivzustellung
Der erste Phishing-Angriffsvektor, den wir beobachteten, war eine ZIP-Datei mit dem Namen Weapons requirements for the Kuwait Air Force.zip.
Die ZIP-Datei enthält zwei Dateien: „Waffenanforderungen für die kuwaitische Luftwaffe.lnk“ und das offizielle Logo der kuwaitischen Streitkräfte. Die LNK-Datei enthält einen schädlichen PowerShell-Befehl, der die nächste Ausführungsphase auslöst, die wir im folgenden Abschnitt untersuchen werden.
Phase 2 – Böswillige Ausführung der Abkürzung
Nach Durchsicht des Inhalts der LNK-Datei stellten wir fest, dass sie einen PowerShell-Befehl enthält, der eine Verbindung zur anonymen File-Sharing-Website filebulldogs[.]com herstellt, um die weitere und endgültige Datei herunterzuladen. Nutzlast, das ist ein JavaScript-Loader, den wir unter dem Alias HOPPINGANT verfolgen.
Bei der Untersuchung der Kommandozeilenargumente der schädlichen LNK-Datei stellten wir fest, dass der Befehl das Verzeichnis in $ENV:Temp ändert, eine JavaScript-Datei namens f.js von hxxps://filebulldogs[.]com/uploads/AVQB61TVOX/f.js mit Invoke-WebRequest herunterlädt, sie im Temp-Verzeichnis speichert und dann das heruntergeladene Skript ausführt, um mit der nächsten Phase des Angriffs fortzufahren.
Im nächsten Abschnitt werden wir uns den JavaScript-Loader genauer ansehen. HOFFNUNGSANT Wir stellten fest, dass diese Datei in allen erwähnten Kampagnen eindeutig verwendet wurde, was für eine konsistente Kampagnenausführung sorgt. Sehen wir uns nun die Funktionsweise des Loaders genauer an.
Phase 3 – HOPPINGANT JavaScript Loader
Nach der Untersuchung der Datei f.js, die wir als HOPPINGANT-Loader bezeichneten, stellten wir fest, dass sie ein Windows Script Host (WSH)-JavaScript enthält, das ein Wscript.Shell-Objekt erstellt und zwei Base64-kodierte PowerShell-Befehle ausführt. Diese Befehle werden mit dem Argument `powershell -enc` ausgeführt, wodurch der Angreifer die eigentlichen PowerShell-Anweisungen in kodierten Daten verbergen kann. Nach der Dekodierung der Base64-kodierten PowerShell-Befehle, die vom WSH-Loader ausgeführt werden, … HOFFNUNGSANT Beim Loader stellten wir fest, dass das Skript mehrere Aktionen durchführt, um zusätzliche Nutzdaten abzurufen und das System für die Datenexfiltration vorzubereiten.
Zunächst wechselt das Skript in den Temp-Ordner und lädt eine Datei namens document.pdf vom Server auf filebulldogs.com herunter. Es handelt sich dabei um dasselbe Köderdokument, das wir bereits erwähnt haben und das mit Nullbytes gefüllt ist, um das Opfer abzulenken.
Das Skript lädt außerdem ein weiteres Archiv namens a.zip vom selben Remote-Server herunter und extrahiert dessen Inhalt. Nach dem Extrahieren der ZIP-Datei fanden wir eine ausführbare Datei namens l.exe, die anschließend in das Benutzerprofilverzeichnis kopiert und ausgeführt wird. Bei genauerer Analyse stellten wir fest, dass es sich bei l.exe um die legitime Software Rclone, genauer gesagt Version [Versionsnummer einfügen], handelt. v1.70.3.
Nach Ausführung der Binärdatei rekonstruiert das Skript mithilfe einer einfachen XOR-basierten Dekodierungsroutine aus einem Array von Ganzzahlen ein Passwort. Mit diesem dekodierten Passwort meldet sich das Skript beim öffentlich zugänglichen Remote-Speicherdienst Mega an, indem es ein neues Remote-Profil mit dem Benutzernamen oliwiagibbons@onionmail[.]org und dem dekodierten Passwort erstellt. Die in allen vier Kampagnen verwendeten E-Mail-Adressen unterscheiden sich voneinander.
Sobald die Fernverbindung hergestellt ist, sammelt und lädt die ausführbare Datei l.exe Dateien vom System des Opfers hoch. Das Skript zielt speziell auf Dokumente im Desktop-Verzeichnis ab, darunter .doc-, .docx-, .pdf- und .txt-Dateien. Zusätzlich versucht es, Telegram-Sitzungsdaten aus dem Verzeichnis Telegram Desktop\\tdata zu exfiltrieren. Die gesammelten Dateien werden anschließend auf das Mega-Speicherkonto hochgeladen, sodass die Angreifer die gestohlenen Daten aus der Ferne abrufen können. Die Bedrohung missbraucht legitime Software und öffentlich verfügbare Dienste, um Daten vom System des Opfers zu exfiltrieren. Im nächsten Abschnitt werden wir die Infrastruktur und die Zuordnung dieser Kampagne untersuchen.
Infrastruktur und Zuordnung
Im Rahmen unserer Untersuchung stellten wir fest, dass die Kampagne öffentlich zugängliche Dienste nutzt, um die Schadsoftware zu hosten und zu verbreiten. Anders als bei herkömmlichen APT-Operationen, die eine dedizierte C2-Infrastruktur aufbauen, basiert die Operation dieses Bedrohungsakteurs vollständig auf legitimen öffentlichen Plattformen, was die netzwerkbasierte Erkennung erheblich erschwert.
Zunächst stellten wir fest, dass das primäre Netzwerkartefakt dieser Kampagne die anonyme Filesharing-Website filebulldogs[.]com ist, die als einziger Staging-Server für die gesamte Infektionskette dient. Jede von uns beobachtete Kampagne, unabhängig davon, ob sie Algerien, die Mongolei, die Ukraine oder Kuwait als Ziel hatte, nutzte dieselbe Domain, um den HOPPINGANT JavaScript-Loader (f.js), das Payload-Archiv (a.zip) und die Köderdokumente (document.pdf) zu hosten. Der Angreifer änderte jedoch für jede Kampagne den Upload-Pfad, indem er unterschiedliche Verzeichnisnamen wie /uploads/AVQB61TVOX/, /uploads/OKW5RN48ZJ/ und /uploads/F1OQY9GU84/ verwendete. Wir gehen davon aus, dass dies dazu beiträgt, die einzelnen Kampagnen voneinander zu trennen und das Risiko zu verringern, dass alle Payloads gleichzeitig entfernt werden. Außerdem ermöglicht es den Angreifern, mehrere Kampagnen innerhalb kurzer Zeiträume durchzuführen.
Im Hinblick auf die Datenexfiltration stellten wir fest, dass der Angreifer MEGA[.]nz, einen öffentlich zugänglichen Cloud-Speicherdienst, als Remote-Endpunkt für die gestohlenen Daten missbrauchte. Die im Rahmen der Kampagnen verwendeten MEGA-Konten sind alle unter folgendem Namen registriert: onionmail.org E-Mail-Adressen, ein anonymer E-Mail-Dienst, der aufgrund der fehlenden Identitätsprüfung bei Cyberkriminellen beliebt ist. In den von uns analysierten Varianten identifizierten wir vier verschiedene, kürzlich registrierte MEGA-Konten:
- coreyroberson@onionmail[.]org – registriert am 17. Februar 2026
- keatonwalls@onionmail[.]org – registriert am 20. Februar 2026
- oliwiagibbons@onionmail[.]org
- theresaunderwood@onionmail[.]org
Die für diese Konten verwendeten Zugangsdaten sind im HOPPINGANT-Loader gespeichert und mittels einer einfachen XOR-Verschlüsselung mit dem Schlüsselwert 56 verschlüsselt. Dieser Schlüssel wird in allen analysierten Kampagnenbeispielen wiederverwendet. Darüber hinaus bleiben die Rclone-Konfigurationsparameter über alle Kampagnen hinweg unverändert, darunter 12 Threads, 12 Übertragungen und eine Bandbreitenbegrenzung von 100 Mbit/s. Die Wiederverwendung desselben Verschlüsselungsschlüssels und identischer Rclone-Einstellungen deutet darauf hin, dass alle beobachteten Beispiele wahrscheinlich Teil derselben koordinierten Kampagne sind.
Nur ein Konto, „Corey Roberson“, enthielt Dateien von etwa 4 KB Größe im Speicher. Diese enthielten unverständliche Daten in Dokumenten mit zufälligen Namen.
Zum jetzigen Zeitpunkt ordnen wir diese Kampagne keinem bekannten Akteur zu. Das Angriffsmuster auf Regierungs-, Verteidigungs-, Diplomatie- und Energiesektoren in Ländern wie Algerien, der Mongolei, der Ukraine und Kuwait, kombiniert mit dem Einsatz geopolitisch motivierter Köder, deutet jedoch darauf hin, dass es sich eher um nachrichtendienstliche Aktivitäten als um Finanzkriminalität im Internet handelt. Wir verfolgen diese Kampagnen im Rahmen der Operation CamelCloneDas Zielmuster lässt auf einen Akteur schließen, der ein Interesse daran hat, die außenpolitischen Positionen, die Verteidigungsfähigkeiten und die diplomatischen Bündnisse von Staaten zu überwachen, die sich in Großmachtrivalitäten bewegen.
Fazit
Seqrite Labs hat mehrere Kampagnen identifiziert, die wir verfolgen als Operation CamelCloneIm Zuge unserer Untersuchung stellten wir fest, dass innerhalb kurzer Zeit mehrere Angriffe auf Regierungs-, Verteidigungs- und diplomatische Einrichtungen in Algerien, der Mongolei, der Ukraine und Kuwait stattfanden. Die Angreifer nutzen ZIP-Archive mit Köderdokumenten, um die Infektionskette zu initiieren.
Ein interessanter Aspekt dieser Kampagne ist, dass der Angreifer nicht auf herkömmliche Kommando- und Kontrollinfrastrukturen zurückgreift. Stattdessen werden die Schadprogramme auf dem öffentlichen File-Sharing-Dienst filebulldogs[.]com gehostet, während die gestohlenen Daten mithilfe des legitimen Tools Rclone in den MEGA-Speicher hochgeladen werden.
In allen vier analysierten Kampagnen beobachteten wir dasselbe. HOFFNUNGSANT Der Loader, die Wiederverwendung desselben XOR-Schlüssels zur Passwortdekodierung und ähnliche Rclone-Konfigurationsparameter deuten darauf hin, dass die Beispiele wahrscheinlich Teil desselben Vorgangs sind.
Zum jetzigen Zeitpunkt ordnen wir diese Aktivität keiner bekannten Bedrohungsgruppe zu. Die Wahl der Köder und die in den Täuschungsdokumenten genannten Sektoren deuten jedoch auf ein Informationsbeschaffungsziel hin. Wir beobachten diese Aktivität weiterhin auf Überschneidungen und informieren Sie, sobald weitere Kampagnen im Zusammenhang mit dieser Operation identifiziert werden.
SEQRITE Schutz
Link.Trojan.50485
Lnk.Trojan.50481.GC
Script.Trojan.50480.GC
Kompromissindikatoren (IOCs)
Hash (SHA-256)Reichen Sie das
| 31f1a97c72f596162f0946df74838d3bef89289ce630adba8791c0f3220980ee | وزارة_السكن_والعمران_والمدينة.png.zip |
| 51af876b0f7fde362c69219f7dec39f7fb667fb53dc5fe2cbdf841d6c5951460 | Weapons%20requirements%20for%20the%20Kuwait%20Air%20Force.zip |
| 27d7a398a58c12093bc49f7144dac2f079232768096d0558c226ea5c53782e29 | Algerisch-ukrainische Kooperationsvorschläge.zip |
| 4a0e2649f89e11121ffe55546ee081ac07472db650d094314414ebf26fcb7a8e | Хятад улстай хамтын ажиллагаагаа өргөжүүлж байна.zip |
| 92962bfa6df48ec0f13713c437af021f4138dc5a419bc92bc8a376d625a6519a | دعوة للمشاركة.lnk |
| 1d0ea66d347325902e20a12e1f2f084be45d3d6045264e513dcc420b9928013c | Waffenbedarf der kuwaitischen Luftwaffe.lnk |
| 2671e1f43b2e5911310c5b3f124c076055eec5dee4e596854332ffcf791fd740 | Algerisch-ukrainische Kooperationsvorschläge.lnk |
| 2902cdee050a60c3129b4bb84e74ddda7b129c3473556f689d83609d9a5981a7 | Хятад улстай хамтын ажиллагаагаа өргөжүүлж байна.lnk |
| 630ac67d8db777ae0b93e066bd13b21908e79f23a41a64448f0a4ea38c063a44 | f.js |
| 230a22a1f1800f11718b43a7ce9390d2ef0fa9dc212d954c8fafbfbe997bbbef | f.js |
| 62c477c0827752ffeb8ea243497eef1c666fc41025d287909d021bceb5b8e699 | f.js |
| 2dcaaedfad798dad87f27aef39885d2879825c4c8bed1dcd9e863aba0d463103 | f.js |
| 3e36b396c4cb71b8eaae2300c21bec26700b27ce5f6be83ef6b86d214e294c8b | l.exe |
E-Mail-Addresse
| oliwiagibbons@onionmail[.]org |
| theresaunderwood@onionmail[.]org |
| keatonwalls@onionmail[.]org |
| coreyroberson@onionmail[.]org |
URLs
| hxxps://filebulldogs[.]com/uploads/AVQB61TVOX/f.js |
| hxxps://filebulldogs[.]com/uploads/OKW5RN48ZJ/f.js |
| hxxps://filebulldogs[.]com/uploads/F1OQY9GU84/f.js |
| hxxps://filebulldogs[.]com/uploads/82WX5GP8CI/f.js |
| hxxps://filebulldogs[.]com/uploads/AVQB61TVOX/document.pdf |
| hxxps://filebulldogs[.]com/uploads/OKW5RN48ZJ/document.pdf |
| hxxps://filebulldogs[.]com/uploads/F1OQY9GU84/document.pdf |
| hxxps://filebulldogs[.]com/uploads/82WX5GP8CI/document.pdf |
| hxxps://filebulldogs[.]com/uploads/AVQB61TVOX/a.zip |
| hxxps://filebulldogs[.]com/uploads/OKW5RN48ZJ/a.zip |
| hxxps://filebulldogs[.]com/uploads/F1OQY9GU84/a.zip |
| hxxps://filebulldogs[.]com/uploads/82WX5GP8CI/a.zip |
MITRE ATT&CK-Mapping
TaktikTechnik-IDTechnikname
| Erster Zugriff | T1566.001 | Phishing: Spearphishing-Anhang |
| Ausführung | T1204.002 | Benutzerausführung: Schädliche Datei |
| T1059.001 | Befehls- und Skriptinterpreter: PowerShell | |
| T1059.007 | Befehls- und Skriptinterpreter: JavaScript | |
| Verteidigungsflucht | T1027 | Verschleierte Dateien oder Informationen |
| T1218 | Ausführung des System-Binärproxys | |
| Command and Control | T1071.001 | Application Layer Protocol: Webprotokolle |
| T1105 | Ingress-Tool-Übertragung | |
| Kollektion | T1005 | Daten vom lokalen System |
| T1213 | Daten aus Informationsrepositorien | |
| Exfiltration | T1567.002 | Exfiltration in den Cloud-Speicher |
Autoren
- Priya Patel
- Kartik Jivani
- Sathwik Ram Prakki
