Forhøjet trussel mod danske virksomheder fra DarkGate MaaS

2023-10-14

Der er forhøjet spam-aktivitet fra IT-kriminelle der forsøger at plante DarkGate på Windows maskiner igennem social engineering.

De uønskede e-mails bærer præg af en høj grad af kreativitet (reply chain teknik), og som igennem en længere infektionskæde, og diverse tricks, forsøger at omgå endpoint beskyttelse for at indsætte "loaderen" til DarkGate.

Et sådan eksempel er følgende infektionsteknik:
Zip arkiv -> LNK (windows genvej) -> Powershell payload -> Mshta.exe -> Powershell payload -> CMD -> Powershell -> Wscript.exe -> CMD -> Curl.exe -> Autoit3.exe

AutoIT (https://www.autoitscript.com/site/autoit/) anvendes, i forsimplet form, til at afkode (Base64) loaderen i hukommelsen.

For at omgå endpoint beskyttelse gør den brug af et snedig user-mode hook bypass. Det bliver der ikke plads til at gå i dybden med her men teknikken er udtalt effektiv mod flere antivirus løsninger. Den anvender også to teknikker til at omgå UAC (User Account Control) med henblik på at opnå SYSTEM rettigheder: "Disk-Clean up" og "EVENTVWR" bypass tricks.

Hvis infektionskæden lykkedes, vil den kompromitterede maskine kontakte en C&C server, hvorfra DarkGate interfacet kan anvendes til at fjernstyre maskinen. Se billede herunder:

Fra ovenstående kontrolpanel/interface kan der udstedes en sværm af kommandoer mod en eller flere kompromitterede Windows maskiner.

Malware as a Service
DarkGate blev første gang lanceret i 2018 og er en Malware as a Service (MaaS) tjeneste. Den indeholder, i lighed med andre advancerede RAT (Remote Administration Tool) forskellige moduler til datahøst og overvågning. Hovedkomponenterne er udviklet i Delphi. 

En ny og betydeligt forbedret version af DarkGate har været annonceret på russiske forums, eksempelvis xss[.]is, siden Juni 2023.

I følge DarkGate bagmanden (RastaFarEye), så indeholder DarkGate følgende funktionalitet:

Prismodel
Det interessante her er at DarkGate er begrænset til 10 såkaldte "affiliates":
1 dag = $1000, 1 måned = $15.000, 1 år = $100000. Målet er åbenlyst, at holde denne Malware as a Service, så privat og eksklusiv som muligt. Den hører således også til i den lidt dyrere ende af sammenlignelige MaaS og CaaS tjenester.

Systematisk datatyveri
DarkGate gør brug af følgende applikationer til at høste passwords, cookies og andre senstive data fra den kompromittered maskine: Mail PassView, WebBrowserPassView, ChromeCookiesView, IECookiesView, MZCookiesView, BrowsingHistoryView og SkypeLogView.

Høj koncentration hos hosting firma
Den seneste aktivitet afslører en høj koncentration af Darkgate C&Cs hostet på (saniteret) 162.33.179[.]65 der tilhører hosting selskabet: BL Networks (blnwx.com).

Whois: AS399629 BLNWX, US (registered Apr 30, 2021)
NetRange: 162.33.176.0 - 162.33.179.255
CIDR: 162.33.176.0/22
NetName: BLNETWORKS-01
NetHandle: NET-162-33-176-0-1
Parent: NET162 (NET-162-0-0-0-0)
NetType: Direct Allocation
OriginAS:
Organization: BL Networks (BNL-77)
RegDate: 2021-05-19
Updated: 2021-06-26

Hvis vi smider IP adressen ind i et VirusTotal diagram, så ser koncentrationen af DarkGate binære filer og C&Cs, således ud:

SIE-Europe telemetri
Ved at supplere med SIE Europe pDNS kan vi samle følgende domæner, som alle er aktive DarkGate C&Cs, og som med fordel kan blokeres i firewall, DNS, cloud m.v. (saniteret)

investmentlineup[.]com
gertretans[.]com
piret-wismann[.]com
prestige-castom[.]com
gertaret[.]com
trewisdert[.]com
eugelens[.]com
utphenter[.]com
starupsysteme[.]com
wilenters[.]com
freedomsepter[.]com
prestigiousdentistry[.]com
pointsdomer[.]com
starupsysteme[.]com
utefu6gkhb[.]com
wiinvestmentsmart[.]com

DarkGate har på det seneste opnået høj popularitet hos IT-kriminelle grupper som primært anvender DarkGate til initiel infektion som så potentielt fører til lateral bevægelse og endelig en ransomware hændelse.