WebDAV-as-a-Service: Emmenhtal loader
2023 decembere óta a Sekoia TDR csapata figyelemmel kísérte az Emmenhtal loader forgalmazásában részt vevő különleges infrastruktúrát. Az Emmenhtal egy lopakodó malware loader, amely arról ismert, hogy világszerte hatékonyan terjeszti a különböző infólopókat (infostealer). Ez a betöltő a kiberbiztonsági kutatók figyelmét is felkeltette, az Orange Cyberdefense és a Google Cloud Threat Intelligence csapata részletes elemzéseket készített róla. A PeakLight néven is ismert Emmenhtal loader kizárólag memóriában működik, ami megnehezíti a felderítését és elemzését. Elsősorban más rosszindulatú hasznos terhelések terjesztésére használják, köztük jól ismert, érzékeny információkat célba vevő infólopókra.
A Sekoia blogbejegyzése először a WebDAV-technológia felhasználását vizsgálja az Emmenhtal loaderhez kapcsolódó rosszindulatú fájlok tárolására, majd elemzi az ezen az infrastruktúrán keresztül szállított különböző végső hasznos terheléseket, végül pedig annak lehetőségét vizsgálja, hogy az infrastruktúrát szolgáltatásként kínálják több fenyegető szereplőnek. Az Emmenhtal betöltőprogramot terjesztő infrastruktúra vizsgálata során a TDR elemzői azonosították a WebDAV (Web Distributed Authoring and Versioning) technológia használatát a rosszindulatú fájlok tárolására. A WebDAV, a HTTP protokoll kiterjesztése, lehetővé teszi a fájlok kezelését webszervereken, beleértve a fájlok távoli feltöltését, szerkesztését és törlését. Bár a WebDAV-nak vannak legitim alkalmazásai az együttműködési környezetekben, a kiberszereplők egyre inkább kihasználják ezt a technológiát rosszindulatú tevékenységek elősegítésére.
Az Orange Cyberdefense által először részletesen bemutatott Emmenhtal loadert, amely az infostealer-ek terjesztésében játszott szerepe miatt került először elemzésre, később a Google Cloud Threat Intelligence csapata elemezte, amely PeakLight néven feltárta a kifinomult, csak memóriára korlátozódó végrehajtási stratégiáját. Ezek az elemzések aláhúzzák az Emmenhtal által jelentett jelentős és folyamatosan fejlődő fenyegetést, mivel folyamatosan új infostealereket szállít. Az Orange Cyberdefense és a Google által leírt fertőzési láncok egyikében a felhasználót kezdetben egy drive-by kompromittálás révén átirányítják a WebDAV-kiszolgálóra, miközben egyes webhelyeket látogat. Ez a folyamat egy explorer.exe ablak előnézetét eredményezi, amely a WebDAV-kiszolgálóhoz csatlakozik, ahol a rosszindulatú fájlok találhatók. A Sekoia.io 2023 vége óta több mint 100 rosszindulatú WebDAV-kiszolgálót azonosított ebből az infrastruktúrából.
A Sekoia által elemzett infrastruktúrában a rosszindulatú fájlokat a WebDAV-kiszolgáló „/Downloads” könyvtárában tárolták, egy olyan nyitott könyvtárban, ahol minden fájl elérhető. A fájlok túlnyomórészt „.lnk” fájlokból álltak, amelyeket az „mshta.exe” bináris fájl segítségével további rosszindulatú hasznos terhek letöltésére használtak, amely egy Microsoft HTML Application (HTA) fájlok futtatására tervezett, legális Microsoft futtatható fájl.
