Die Infektionskette beginnt mit Social Engineering. Die Angreifer fluten zunächst das Postfach der Zielperson mit Spam und nehmen anschließend über Microsoft Teams Kontakt auf, wobei sie sich als unternehmenseigene IT-Mitarbeiter ausgeben und Hilfe gegen die unerwünschten Nachrichten anbieten. Auf diese Weise bringen sie das Opfer dazu, eine Fernsitzung über Quick Assist zu starten.

Über den so erlangten Zugriff installieren die Täter ein Schadwerkzeug mit digital signierten MSI-Installern, die in einem persönlichen Microsoft-Cloud-Speicherkonto abgelegt sind. Nach Analyse von BlueVoyant tarnen sich diese MSI-Dateien als Microsoft-Teams-Komponenten und als CrossDeviceService, ein legitimes Windows-Werkzeug der Phone-Link-App.

Für die Ausführung setzen die Angreifer auf DLL-Sideloading mit legitimen Microsoft-Binärdateien. Dabei wird eine schädliche Bibliothek (hostfxr.dll) geladen, die komprimierte oder verschlüsselte Daten enthält. Im Speicher entschlüsselt die Bibliothek diese Daten zu Shellcode und übergibt ihm die Ausführung. Die Bibliothek nutzt zudem die Funktion CreateThread, um die Analyse zu erschweren: Laut BlueVoyant kann das übermäßige Erzeugen von Threads einen Debugger zum Absturz bringen, während es im normalen Betrieb kaum Auswirkungen hat.

Der Shellcode prüft zunächst auf eine Sandbox-Umgebung und erzeugt dann einen aus SHA-256 abgeleiteten Schlüssel, mit dem er die AES-verschlüsselte A0Backdoor extrahiert. Die Schadsoftware verlagert sich in einen neuen Speicherbereich, entschlüsselt ihre Kernroutinen und sammelt über Windows-API-Aufrufe wie DeviceIoControl, GetUserNameExW und GetComputerNameW Informationen über das System, um es zu identifizieren.

Besonderes Augenmerk legt die Malware auf die Verschleierung ihrer Kommunikation mit dem Steuerungsserver (C2): Diese versteckt sich im DNS-Verkehr. Die Schadsoftware sendet DNS-MX-Anfragen mit kodierten Metadaten in Subdomains hoher Entropie an öffentliche rekursive Resolver; die DNS-Server antworten mit MX-Einträgen, die kodierte Befehlsdaten enthalten. “Die Malware extrahiert und dekodiert das am weitesten links stehende Label, um Befehls- und Konfigurationsdaten zurückzugewinnen, und geht dann entsprechend vor”, erklärt BlueVoyant. Der Einsatz von DNS-MX-Einträgen lasse den Verkehr unauffällig erscheinen und könne Kontrollen umgehen, die auf das häufiger überwachte TXT-basierte DNS-Tunneling ausgelegt sind.

Nach Angaben von BlueVoyant gehören zu den Zielen dieser Kampagne eine Finanzinstitution in Kanada und eine global tätige Gesundheitsorganisation. Die Forscher bewerten mit mittlerer bis hoher Zuversicht, dass es sich um eine Weiterentwicklung der Taktiken, Techniken und Vorgehensweisen der Ransomware-Gruppe BlackBasta handelt, die sich aufgelöst hat, nachdem interne Chatprotokolle der Operation durchgesickert waren. Trotz zahlreicher Überschneidungen seien der Einsatz signierter MSI-Dateien und schädlicher DLLs, die A0Backdoor-Payload selbst sowie die C2-Kommunikation über DNS-MX-Einträge neue Elemente.