Vor kurzem haben Forensiker des Security Operations Center (SOC) und der Threat Fusion Cell (TFC) von BlueVoyant eine neue Kampagne des Bedrohungsakteurs Rift Brigantine – auch bekannt als TA505, FIN11 oder Graceful Spider – ausgespürt. Die Angreifer nutzen betrügerische GitHub-Repositorys, um bösartige Batch-Skript-Installer zu verteilen, die sich als legitime IT- und Sicherheitssoftware – etwa Microsoft Remote Desktop Connection Manager (RDCMan) und Palo Alto Networks GlobalProtect – ausgeben. Die Skripte setzen den modularen TookPS-Downloader ein, der eine mehrstufige Infektionskette anstößt, die auf dauerhaften Fernzugriff abzielt. Der Angriff gilt nicht als neuartig, wird von BlueVoyants Sicherheitsexperten aber als jüngste Weiterentwicklung einer langjährigen, anpassungsfähigen Operation eingeordnet, die mit früheren Rift-Brigantine-Kampagnen in Zusammenhang steht.

Den Ausgangspunkt der Entdeckung durch BlueVoyant bildete die Suche eines Administrators nach Installationsprogrammen für RDCMan und GlobalProtect auf GitHub. Die Angreifer hatten dort mehrere Repositorys aufgebaut, die sich als legitime Quellen tarnten und vermeintliche Installer der Anwendungen bereitstellten. Lud sich das Opfer nun das ZIP-Archiv herunter, enthielt dies auch eine Batch-Datei, die sich als Installationsprogramm ausgab und beim Start darauf hinwies, dass das Skript mit Administratorrechten auszuführen sei.

Eine eingehende Analyse der Forensiker von BlueVoyant ergab, dass der eigentliche Inhalt des ZIP-archivs auf mehreren Ebenen durch String-Splitting und die Manipulation von Umgebungsvariablen verschleiert wurde. Das Skript erzeugt eine URL, über die der Computer- und Nutzername des Opfers per curl übertragen wird. Anschließend lädt es eine verschlüsselte Nutzlast von einem weiteren Pfad nach, der auf derselben Command-&-Control-(C2)-Domain liegt, und führt ein PowerShell-Skript aus, das mittels Umgehung der Ausführungsrichtlinie gestartet wird. Zunächst sucht das PowerShell-Skript nach einer Datei namens hwid.dat. Diese dient der Speicherung einer Hardware-ID (HWID). Dann kontaktiert das Skript einen vom Angreifer kontrollierten Server (glucogenics[.]com) und sendet eine HTTP-Anfrage, die die eindeutige Opfer-ID als Parameter enthält.

Nach dem Verbindungsaufbau liefert der Remote-Server dann sechs separate PowerShell-Skripte, die nacheinander ausgeführt werden. Jedes dieser Skripte enthält eine eigene Verzögerung, um die richtige Reihenfolge sicherzustellen:

• Skripte 1 und 2 sammeln System-, Session-, Prozess- sowie Datei-/Hash-Informationen und übermitteln sie als JSON an ptk2[.]xyz.
• Skript 3 nutzt die HWID aus hwid.dat, um wechselnde PowerShell-Payloads nachzuladen.
• Skript 4 lädt volume2.zip, führt Volume2.exe aus und sideloadet eine Backdoor-DLL, die anschließend Kontakt zu livewallpapers[.]online aufnimmt.
• Skripte 5 und 6 installieren ein als „QTConnect“ getarntes TeamViewer, laden dabei msi.dll(MineBridge/TeviRAT) nach, starten die Komponente und ermöglichen über verschlüsselte C2-Kommunikation weitere Nachlade-Aktionen (u. a. DLL-Injektion/SSH).

Unter den von Skript 3 gelieferten Payloads wurde ein PowerShell-Skript identifiziert, das in eine Node.js-Backdoor mündet. Beim Start erzeugt die Backdoor einen eindeutigen Sitzungsschlüssel und liest die zuvor gespeicherte HWID aus, um das infizierte System zu identifizieren. Danach baut sie eine dauerhafte ausgehende Verbindung zu einem fest codierten Remote-Server auf und wartet auf verschlüsselte Anweisungen. Der Server kann unterschiedliche Befehle ausgeben, darunter die Abfrage von Systemidentifikationsdaten, das Einrichten versteckter Netzwerktunnel zur Weiterleitung lokaler Verbindungen über die Infrastruktur des Angreifers sowie die Anweisung an den Client, neue C2-Verbindungen herzustellen. Die Kommunikation ist mit AES-256 verschlüsselt. Bei Verbindungsabbrüchen versucht das Skript in kurzen Intervallen, die Verbindung wiederherzustellen, um die erforderliche Persistenz sicherzustellen.

Um sich vor der neuen Kampagne zu schützen, empfehlen die SOC- und FTC-Forensiker von BlueVoyant Unternehmen, ihre Software ausschließlich aus verifizierten Herstellerquellen oder internen Repositories zu beziehen. Außerdem sollten sie die Ausführung von Batch- und PowerShell-Skripten – insbesondere mit Adminrechten – strikt begrenzen. Und schließlich sollten sie typische Living-off-the-Land-Signale wie Policy-Bypass, automatisierte Downloads und wiederkehrende externe Verbindungen eng überwachen. Sinnvoll sind auch die Erkennung von und Härtung gegen DLL-Sideloading sowie ein strengeres Egress-Filtering, um verdeckte Tunnel- und C2-Kommunikation frühzeitig zu stoppen.