KryptoCibule: Der Multitasking Krypto‑Stealer | WeLiveSecurity

KryptoCibule: Der Multitasking Krypto‑Stealer

ESET-Forscher haben einen bisher undokumentierten Trojaner analysiert, der sich über bösartige Torrents verbreitet. Er nutzt verschiedene Methoden, um unentdeckt zu bleiben und so viele Kryptocoins wie möglich von seinen Opfern zu stehlen.

ESET-Forscher haben einen bisher undokumentierten Trojaner analysiert, der sich über bösartige Torrents verbreitet. Er nutzt verschiedene Methoden, um unentdeckt zu bleiben und so viele Kryptocoins wie möglich von seinen Opfern zu stehlen.

ESET-Forscher haben eine bisher nicht dokumentierte Malware-Familie entdeckt, die wir KryptoCibule genannt haben. Diese Malware ist in dreierlei Weise eine Bedrohung für Kryptowährungen. Sie nutzt die Systemressourcen ihres Opfers, um Kryptowährung zu erzeugen, versucht Transaktionen durch Ersetzen von Brieftaschenadressen in der Zwischenablage zu hijacken und filtert kryptowährungsbezogene Dateien heraus. Zugleich werden mehrere Techniken eingesetzt, um eine Erkennung zu vermeiden. KryptoCibule nutzt das Tor-Netzwerk und das BitTorrent-Protokoll in hohem Maß für seine Kommunikationsinfrastruktur.

Die in C# geschriebene Malware verwendet auch legitime Software. Einiges davon, wie Tor- und der Transmission-Torrent-Client, werden mit dem Installationsprogramm gebündelt. Anderes wird zur Laufzeit heruntergeladen, wie beispielsweise der Apache httpd und der Buru SFTP-Server. Eine Übersicht über die verschiedenen Komponenten und ihre Wechselwirkungen ist in Abbildung 1 dargestellt.

Abbildung 1. KryptoCibule-Komponenten und -Tools

Bei der ersten Ausführung der Malware wird dem Host eine eindeutige Kennung im Format {Adjektiv} -{Substantiv} zugewiesen, wobei {Adjektiv} und {Substantiv} zufällige Wörter aus zwei fest codierten Listen sind, die über 10 Millionen eindeutige Kombinationen enthalten. Diese Kennung wird dann zur Identifikation des Hosts gegenüber den C&C-Servern verwendet.

Zusätzlich zu den kryptobezogenen Komponenten verfügt KryptoCibule auch über RAT-Funktionen (Remote Access Trojan). Zu den unterstützten Befehlen gehören EXEC, womit beliebige Befehle ausgeführt werden können, und SHELL, mit dem ein PowerShell-Skript vom C&CServer heruntergeladen wird. Dieses Skript lädt dann eine mit dem Post-Exploitation-Tool Pupy generierte Hintertür.

Der Name KryptoCibule leitet sich übrigens von den tschechischen und slowakischen Wörtern für „Krypto“ und „Zwiebel“ ab.

Zeitleiste

Da wir mehrere Versionen dieser Malware entdeckt haben, können wir ihre Entwicklung bis Dezember 2018 zurückverfolgen. Abbildung 2 zeigt die Änderungen, die im Laufe der Zeit an KryptoCibule vorgenommen wurden.

Abbildung 2. Zeitleiste der Aktualisierungen und Funktionsänderungen

Ziele

Laut der ESET Telemetrie (siehe Abbildung 3) zielt die Malware hauptsächlich auf Benutzer in Tschechien (Tschechische Republik) und der Slowakei ab. Dies entspricht der Benutzergruppe der Webseite, auf der sich die infizierten Torrents befinden.

Abbildung 3. Laut unseren Telemetriedaten fanden über 85% der Erkennungen in Tschechien und der Slowakei statt.

Fast alle bösartigen Torrents waren auf der Seite uloz.to verfügbar; einer beliebten Filesharing-Webseite in Tschechien und der Slowakei (siehe Abbildung 4). Im nächsten Abschnitt werden wir erklären, wie diese Torrents zur Verbreitung von KryptoCibule verwendet werden.

Abbildung 4. Einer der böswilligen Torrents auf uloz.to.

Wie im Abschnitt „Anti-Erkennungs- und Anti-Analyse-Techniken“ weiter unten beschrieben, sucht KryptoCibule speziell nach ESET-, Avast- und AVG-Endpunkt-Sicherheitsprodukten. Dieses Verhalten passt zur Verbreitung, da ESET seinen Hauptsitz in der Slowakei hat und Avast (ebenfalls Besitzer von AVG) seinen Hauptsitz in Tschechien hat.

Torrents

KryptoCibule nutzt das BitTorrent-Protokoll sowohl um sich zu verbreiten als auch um zusätzliche Tools und Updates herunterzuladen.

Erste Kompromittierung

KryptoCibule wird durch bösartige Torrents in ZIP-Dateien verbreitet. Es tarnt sich als Installationsprogramme für geknackte oder raubkopierte Software und Spiele. Obwohl weitere Dateien enthalten sein können, wie in Abbildung 5 dargestellt, gibt es fünf Dateien, die allen KryptoCibule-Installationsarchiven gemeinsam sind. packed.001 ist die Malware, während packed.002 das Installationsprogramm für die erwartete Software ist. Beide sind mit den in der Setup.exe enthaltenen Schlüsseln XOR-verschlüsselt.

Wenn Setup.exe ausgeführt wird, werden sowohl die Malware als auch die erwarteten Installationsdateien dekodiert. Anschließend wird die Malware im Hintergrund und das erwartete Installationsprogramm im Vordergrund gestartet. Das Opfer erhält keinen Hinweis darauf, dass womöglich etwas nicht stimmt.

Abbildung 5. Inhalt des Dead.Cells.Incl.All.DLC-Archivs mit dem minimalen gemeinsamen Satz von KryptoCibule-Installationsdateien.

Zusätzliche Software und Updates

Das BitTorrent-Protokoll wird auch zum Herunterladen von Malware-Updates und zusätzlicher Software verwendet.

KryptoCibule installiert den Torrent-Client transmission-daemon und verwaltet ihn, indem er Befehle über seine RPC-Schnittstelle an Port 9091 mit transmission-remote ausgibt. Die RPC-Schnittstelle verwendet die fest codierten Anmeldeinformationen superman:krypton.

Um weitere Software für die Malware zu installieren, z. B. den SFTP-Server, sendet die Launcher-Komponente einen HTTP-GET-Request an %C&C%/softwareinfo?title=<Software-Name> und erhält eine JSON-Antwort mit einem Magnet-URI für den Torrent zum Herunterladen und andere Informationen, die angeben, wie das Programm installiert und ausgeführt werden soll. Abbildung 6 zeigt ein Beispiel für eine solche Antwort.

Abbildung 6. Beispielantwort für die Anforderung GET /softwareinfo?title=ssh_server request

Der Mechanismus zum Abrufen von Updates ist ähnlich. Die Malware erhält zuerst allgemeine globale Einstellungen über HTTP von %C&C%/settingsv5. Diese Antwort enthält unter anderem eine Magnet-URI, um die neueste Version der Malware herunterzuladen. Anschließend wird eine GET-Anforderung an %C&C%/version gesendet, um die neueste Versionsnummer abzurufen. Wenn die lokale Version niedriger als diese Version ist, wird der Torrent heruntergeladen und installiert.

Torrents werden mit dem folgenden Befehl zur Übertragung hinzugefügt:

transmission-remote localhost -n superman:krypton -a „<magnet URI>“

Eine fest codierte Liste von 50 Trackern wird verwendet, um Peers für alle Torrents zu erhalten.

Seeding der bösartigen Torrents

Die Rechner der Opfer werden sowohl zum Seeding der Torrents der Malware als auch für die bösartigen Torrents verwendet, die zur Verbreitung beitragen. Infizierte Hosts erhalten eine Liste der Magnet-URIs von %C&C%/magnets, dann laden sie alle Dateien herunter und verteilen sie weiter. Dies stellt sicher, dass diese Dateien stets für andere zum Download verfügbar sind. So wird das Herunterladen beschleunigt und die Redundanz erhöht.

Anti-Erkennungs- und Anti-Analysetechniken

Diese Malware nutzt eine Vielzahl von Techniken, um eine Erkennung zu vermeiden, außerdem werden einige grundlegende Anti-Analyse-Maßnahmen eingesetzt.

Es beginnt mit dem anfänglichen Zugriffsvektor. Die im ZIP-Archiv enthaltene ausführbare Datei ist ein ziemlich harmloses Installationsprogramm, das sich als legitimes InstallShield-Programm tarnt. Diese Datei ist mit dem Open-Source-Programm Obfuscar verschlüsselt. Das gleiche Tool wird für alle benutzerdefinierten, ausführbaren Dateien der Malware verwendet. Der Schadcode selbst befindet sich in einer XOR-verschlüsselten Datei. Der Schlüssel ist eine in Setup.exe fest codierte GUID.

Die Malware wird dann im fest codierten Pfad %ProgramFiles(x86)%\Adobe\Acrobat Reader DC\ Reader\update installiert und verwendet legitime Namen ausführbarer Dateien von Adobe Acrobat Reader für die mitenthaltene ausführbare Tor-Datei und ihre eigenen Dateien. Einige der im Installationsordner enthaltenen Dateien sind in Abbildung 7 dargestellt.

Abbildung 7. Einige der Dateien im Installationsordner. Armsvc.exeist die Malware und ADelRCP.exe ist die ausführbare Tor-Datei. Beide Dateinamen werden tatsächlich von Adobe Reader verwendet.

Um Persistenz zu erreichen, erstellt KryptoCibule eine geplante Aufgabe, die alle fünf Minuten mit dem folgenden Befehl ausgeführt wird. Es wird hier wieder ein Adobe Reader-Name verwendet.

schtasks.exe /CREATE /SC MINUTE /MO 5 /TN „Adobe Update Task“ /TR \““%ProgramFiles(x86)%\Adobe\Acrobat Reader DC\Reader\Update\armsvc.exe\““ [/RL HIGHEST] /F [/RU SYSTEM]

Vor dem ersten Ausführen seiner Nutzdaten und bei jeder Iteration der Hauptschleife überprüft die Malware ob Ananlyse-Software auf dem System läuft. Dazu verwendet sie die folgende Liste. Wenn ein Prozess mit einem übereinstimmenden Namen gefunden wird, werden alle laufenden Komponenten gestoppt und beendet.

  • cain
  • filemon
  • netmon
  • netstat
  • nmwifi
  • perfmon
  • processhacker
  • procexp
  • procexp64
  • procmon
  • regmon
  • tasklist
  • taskmgr
  • tcpvcon
  • tcpview
  • wireshark

Antivirus-Erkennung

Vor dem Initialisieren der Kryptominer-Komponenten führt die Malware eine Überprüfung des WMI-Objekts rootSecurityCenter2\AntiVirusProduct für die Zeichenfolgen avast, avg und eset (ohne Berücksichtigung von Groß- und Kleinschreibung) durch, wie im dekompilierten Code in Abbildung 8 dargestellt. Sollte eine dieser Zeichenfolgen erkannt werden, werden die Kryptominer-Komponenten nicht installiert.

Abbildung 8. Bereinigter dekompilierter Code der Funktion, mit der nach bestimmter Sicherheitssoftware gesucht wird.

Immer wenn sich die Malware selbst, ein Update oder eine neue Komponente installiert, wird der verwendete Installationspfad von automatischen Scans von Windows Defender ausgeschlossen. Das geschieht mit dem folgenden Befehl:

powershell -c „Add-MpPreference -ExclusionPath ‚<install path>'“

Außerdem werden Firewall-Regeln erstellt, um eingehenden und ausgehenden Datenverkehr der KryptoCibule-Komponenten unter Verwendung harmlos klingender Regelnamen explizit zuzulassen. Eine Regel zum Blockieren des ausgehenden Datenverkehrs des ESET-Kernel-Diensts (ekrn.exe) wird ebenfalls von der in Abbildung 9 gezeigten Funktion erstellt.

Abbildung 9. Die Funktion, die den ausgehenden Datenverkehr von ekrn.exe in der Windows-Firewall blockiert

Tor Netzwerknutzung

KryptoCibule bringt das Befehlszeilentool tor.exe mit, welches sich als ADelRCP.exe und eine Konfigurationsdatei (siehe Abbildung 10) als libstringutils.dll tarnt.

Abbildung 10. Die Tor-Konfigurationsdatei, die von der neuesten Version der Malware verwendet wird

Dadurch wird ein SOCKS-Proxy an Port 9050 eingerichtet, den die Malware verwendet, um die gesamte Kommunikation mit den C&C-Servern über das Tor-Netzwerk weiterzuleiten. Dies hat den doppelten Vorteil, dass die Kommunikation verschlüsselt wird und es praktisch unmöglich ist, den oder die tatsächlichen Server hinter diesen URIs zu verfolgen.

Im zweiten Teil der Konfigurationsdatei werden Onion-Dienste auf dem betroffenen Host eingerichtet. Diese sind für die Malware-Betreiber über das Tor-Netz zugänglich. Beim ersten Start dieser Dienste generiert Tor automatisch eine .onion-URI für den Host. Dieser eindeutige Hostname wird dann an %C&C%/transferhost/<eindeutiger Name> gesendet. Wir werden in den nächsten Abschnitten darauf eingehen, wie diese Onion-Dienste verwendet werden.

Port NumberService
9091Transmission Daemon RPC interface
9999Apache httpd server
9187Buru SFTP server
9188Buru Web Admin
12461MiniWeb HTTP server

Die onion-URIs für zwei C&C-Server sind in der Malware enthalten. Einer davon bietet eine REST-API, die die Malware für die meisten Kommunikationen verwendet, während der andere zum Datei-Download verwendet wird. Zusätzliche URIs können einzeln mit einer Anfrage an %C&C%/Server abgerufen werden. Einige ältere Versionen der Malware verwenden diese, um Updates über Port 12461 herunterzuladen. Wir glauben, dass diese URIs auf andere infizierte Hosts verweisen. Die Versionen der Malware, die sie verwenden, verfügen über Code, um ihre heruntergeladenen Updates in einem Verzeichnis abzulegen, das vom MiniWeb-HTTP-Server an demselben Port bereitgestellt wird.

In unseren Telemetriedaten konnten wir eine IP-Adresse für den Dateiserver-C&C identifizieren.

Kryptowährung erzeugen und stehlen

KryptoCibule besteht aus drei Komponenten, die auf infizierte Hosts zum Erhalt von Kryptowährungen eingesetzt werden.

Kryptomining

Die neuesten Versionen von KryptoCibule verwenden XMRig, ein Open-Source-Programm, um mit der CPU die Kryptowährung Monero abzubauen. Gleichzeitig wird auch das Open-Source-Programm kawpowminer eingesetzt, um Ethereum mit der GPU zu erzeugen. Zweiteres Programm wird nur verwendet, wenn auf dem Host eine dedizierte Grafikkarte gefunden wird. Beide Programme sind so eingerichtet, dass sie über den Tor-Proxy eine Verbindung zu den Mining-Servern der Hintermänner herstellen.

Bei jeder Iteration der Hauptschleife überprüft die Malware den Akkuladestand und die Zeit seit der letzten Benutzereingabe. Auf Basis dieser Informationen werden die Miner-Prozesse anschließend gestartet oder gestoppt. Wenn der Host in den letzten 3 Minuten keine Benutzereingaben erhalten hat und über mindestens 30% Akkuladung verfügt, werden sowohl die GPU- als auch die CPU-Miner mit voller Leistung ausgeführt. Andernfalls wird der GPU-Miner angehalten und der CPU-Miner auf einen Thread beschränkt. Wenn der Batteriestand unter 10% liegt, werden beide Miner gestoppt. Dies geschieht, um die Wahrscheinlichkeit der Entdeckung durch das Opfer zu verringern.

Diebstahl aus der Zwischenablage

Die zweite Komponente gibt sich als SystemArchitectureTranslation.exe aus. Sie verwendet die AddClipboardFormatListener-Funktion, um Änderungen an der Zwischenablage zu überwachen und die Ersetzungsregeln von %C&C%/regexes auf den Inhalt anzuwenden. Der Code für diesen Listener ist in Abbildung 11 dargestellt. Der Wert 0x31D entspricht der Konstante WM_CLIPBOARDUPDATE.

Diese Regeln in der Form <regulärer_Ausdruck>! <wallet> stimmen mit dem Format der Krypto-Wallet-Adressen überein und ersetzen sie mit Adressen der Wallets der Malware-Betreiber. Dies ist ein Versuch, vom Opfer getätigte Transaktionen in die Wallets des Malware-Betreibers umzuleiten. Diese Komponente verwendet einen FileSystemWatcher, um Ersetzungsregeln neu zu laden, wenn die Datei settings.cfg geändert wird.

Abbildung 11. Dekompilierter Code für die Listener-Funktion, die vom Zwischenablage-Hook verwendet wird

Zum Zeitpunkt dieses Aufsatzes hatten die Wallets, die von der Entführungskomponente der Zwischenablage verwendet wurden, Bitcoin und Ethereum in Höhe von etwas mehr als 1800 US-Dollar erhalten. Ein solches Wallet ist in Abbildung 12 dargestellt. Durch die Korrelation von Wallets, die in denselben Transaktionen wie die bekannten Wallets verwendet wurden, konnten wir mindestens 4 zusätzliche Bitcoin-Wallets aufdecken, die wahrscheinlich den Betreibern von KryptoCibule gehören.

Abbildung 12. Eine Bitcoin-Brieftasche, die von der Zwischenablage-Hijacking-Komponente verwendet wird

Datei-Exfiltrierung

Die dritte Komponente durchsucht das Dateisystem jedes verfügbaren Laufwerks nach Dateinamen, die bestimmte Begriffe enthalten. Eine Liste solcher Begriffe, die wir während unserer Untersuchung erhalten haben, ist in Abbildung 13 dargestellt.

Abbildung 13. Eine Liste der zu suchenden Wörter aus der Antwort GET %C&C%/settingsv5 response

Die meisten Begriffe beziehen sich auf Kryptowährungen, Wallets oder Miner, aber einige allgemeinere Begriffe wie crypto (in mehreren Sprachen), seed und password sind ebenfalls vorhanden. Die Liste enthält ähnliche tschechische und slowakische Begriffe wie heslo, hesla und banka (dies sind die Wörter für „Passwort“, „Passwörter“ bzw. „Bank“). Einige Begriffe entsprechen auch Pfaden oder Dateien, die andere interessante Daten (Desktop, private) einschließlich privater Schlüssel (.ssh, .aws) bereitstellen können. Die Komponente sammelt den vollständigen Pfad jeder übereinstimmenden Datei und sendet die Liste an %C&C%/found/<unique name>.

Wir glauben, dass dies im Zusammenspiel mit dem SFTP-Server geschieht, der als Onion-Dienst auf Port 9187 ausgeführt wird. Dieser Server erstellt Zuordnungen für jedes verfügbare Laufwerk und stellt sie mithilfe der in der Malware fest codierten Anmeldeinformationen zur Verfügung. Die gesammelten Pfade können somit zur Datei-Exfiltrierung verwendet werden. Dazu müssen sie von einem vom Angreifer kontrollierten Computer über SFTP vom infizierten Host angefordert werden.

KryptoCibule installiert auch einen legitimen Apache-httpd-Server, der so konfiguriert ist, dass er ohne Einschränkungen als Forward-Proxy fungiert und als Onion-Dienst über Port 9999 erreichbar ist.

Fazit

Die KryptoCibule-Malware existiert seit Ende 2018 und ist immer noch aktiv. Bis jetzt scheint sie nicht viel Aufmerksamkeit erregt zu haben. Dies liegt wahrscheinlich an der Verwendung legitimer Open-Source-Tools und an der breiten Palette der eingesetzten Anti-Erkennungsmaßnahmen. Das kann auch an der relativ geringen Zahl von Opfern (einige Hundert) und an der Beschränkung auf zwei Länder liegen. KryptoCibule wurde im Laufe seiner Lebensdauer regelmäßig um neue Funktionen erweitert und befindet sich weiterhin in der aktiven Entwicklung.

Vermutlich konnten die Malware-Betreiber durch den Diebstahl von Wallets und den Abbau von Kryptowährungen mehr Geld verdienen als es in den Wallets der Entführungskomponente den Anschein macht. Die mit dieser Komponente allein erzielten Einnahmen scheinen nicht ausreichend zu sein, um den beobachteten Entwicklungsaufwand zu rechtfertigen.

Indicators of Compromise (IoCs)

The comprehensive list of Indicators of Compromise (IoCs) and samples can be found in our GitHub repository.

Samples

SHA-1FilenameESET detection name
3BCEF852639F85803974943FC34EFF2D6D7D916Darmsvc.exeMSIL/KryptoCibule.A
352743EBE6A0638CC0614216AD000B6A43C4D46ESystemArchitectureTranslation.exeMSIL/KryptoCibule.A
70480D5F4CB10DE42DD2C863DDF57102BE6FA9E0Updater.exeMSIL/KryptoCibule.A
2E568CDF9B28824FBA1D7C16D8D0BE1D73A3FEBASetup.exeMSIL/KryptoCibule.A

Network

  • rlwryismmgjijryr55u5rqlbqghqvrwxe5qgxupuviyysxkky5wah6yd.onion
  • 4dtu3lxrpx6nn7snjovoc3ldiy4x67k7qsrgzftvkrttoqbwnsuirhqd.onion
  • v6lajszeqfkt3h2nptorindpf3mow5p3thrx2vuqbqzbv3tjrcqmgdqd.onion

Scheduled Tasks

NameExecutable Path
GoogleUpdateTask%LocalAppData%\Microsoft\Architecture\SystemArchitectureTranslation.exe
Adobe Update Task%ProgramFiles(X86)%\Adobe\Acrobat Reader DC\Reader\Update\armsvc.exe

MITRE ATT&CK techniques

This table was built using version 7 of the ATT&CK framework.

TacticIDNameDescription
Initial AccessT1189Drive-by CompromiseKryptoCibule is spread through torrent and file-sharing websites.
ExecutionT1059.001Command and Scripting Interpreter: PowerShellKryptoCibule directly executes PowerShell commands.
Some commands received from the C&C use PowerShell.
T1059.003Command and Scripting Interpreter: Windows Command ShellCommands received from the KryptoCibule C&C are executed with cmd.exe.
T1106Native APIKryptoCibule uses the System.Diagnostics.Process C# class to run processes.
T1204.002User Execution: Malicious FileKryptoCibule requires victims to run an installer from a downloaded torrent.
PersistenceT1053.005Scheduled Task/Job: Scheduled TaskKryptoCibule attains persistence by creating a scheduled task to run the main executable every five minutes.
Defense EvasionT1027Obfuscated Files or InformationKryptoCibule executables are obfuscated with Obfuscar.
T1036MasqueradingKryptoCibule components use misleading names and a configuration file masquerades as a DLL.
T1036.004Masquerading: Masquerade Task or ServiceKryptoCibule tasks are named after legitimate and benign looking software.
T1036.005Masquerading: Match Legitimate Name or LocationKryptoCibule uses paths and filenames that match those of Adobe Reader for malware and Tor client.
BuruServer uses paths and filenames for OpenSSH.
Transmission is installed to Java runtime directories.
T1140Deobfuscate/Decode Files or InformationThe files that come with the KryptoCibule installer are XOR-encrypted.
PowerShell commands from the KryptoCibule C&C are base64-encoded.
T1497Virtualization/Sandbox EvasionThe KryptoCibule payload is not executed if an analysis tool is detected.
T1497.002Virtualization/Sandbox Evasion: User Activity Based ChecksKryptoCibule uses the time since last input to set limits on cryptominer CPU usage.
T1562.001Impair Defenses: Disable or Modify ToolsKryptoCibule uses Add-MpPreference -ExclusionPath to exclude malware and installed tools from Windows Defender scanning.
T1562.004Impair Defenses: Disable or Modify System FirewallKryptoCibule uses advfirewall firewall add rule to allow its tools and block the ESET Kernel Service.
T1564.003Hide Artifacts: Hidden WindowKryptoCibule hides process windows using the windowstyle hidden option.
DiscoveryT1057Process DiscoveryKryptoCibule uses System.Diagnostics.Process.GetProcesses to get a list of running processes.
T1082System Information DiscoveryKryptoCibule obtains information about host’s timezone, locale, power status, OS and hardware.
T1083File and Directory DiscoveryKryptoCibule has a component that looks for files on the local file system.  
T1518.001Software Discovery: Security Software DiscoveryKryptoCibule looks for antivirus software in the root\\SecurityCenter2 → AntivirusProduct ManagementObject.
The cryptominer component is not installed if it detects an installed antivirus product.
CollectionT1005  Data from Local SystemKryptoCibule learches all attached drives for a list of filenames .
T1119Automated CollectionKryptoCibule programmatically collect paths for files to be exfiltrated.
Command and ControlT1071.001Application Layer Protocol: Web ProtocolsKryptoCibule uses HTTP for C&C communication.
T1071.002 File Transfer ProtocolsKryptoCibule downloads updates and additional tools via BitTorrent.
T1090.003Proxy: Multi-hop ProxyKryptoCibule bundles Tor and uses it as a SOCKS proxy to communicate with its C&C.
T1105Ingress Tool TransferKryptoCibule downloads additional tools using BitTorrent.
T1568Dynamic ResolutionKryptoCibule gets additional onion URIs over HTTP.
T1571Non-Standard PortKryptoCibule uses port 9187 for SFTP server, and 9999 and 12461 for HTTP servers.
ExfiltrationT1020Automated ExfiltrationLogs, file locations and system info are automatically collected and sent to the KryptoCibule C&C.
T1041Exfiltration Over C2   ChannelLogs, file locations and system info are sent via the KryptoCibule HTTP C&C channel.
T1048Exfiltration Over Alternative ProtocolKryptoCibule exfiltrates files over SFTP.
ImpactT1496Resource HijackingKryptoCibule uses XMRig and Kawpowminer to mine cryptocurrency on victim systems.
T1565Data ManipulationKryptoCibule replaces cryptocurrency wallet addresses in the clipboard in an attempt to hijack transfers.

Newsletter-Anmeldung

Hier können Sie mitdiskutieren