GrayAlpha verwendet verschiedene Infektionsvektoren, um PowerNet Loader und NetSupport RAT bereitzustellen
Executive Summary
Die Insikt Group hat eine neue Infrastruktur identifiziert, die mit GrayAlpha in Verbindung steht, einem Bedrohungsakteur, der sich mit der finanziell motivierten Gruppe überschneidet, die gemeinhin als FIN7 bezeichnet wird. Diese neu identifizierte Infrastruktur umfasst Domains, die für die Verteilung der Nutzlast verwendet werden, sowie weitere IP-Adressen, von denen angenommen wird, dass sie mit GrayAlpha in Verbindung stehen. Insikt Group entdeckte einen benutzerdefinierten PowerShell-Loader namens PowerNet, der NetSupport RAT dekomprimiert und ausführt. Insikt Group hat einen weiteren benutzerdefinierten Lader namens MaskBat identifiziert, der Ähnlichkeiten mit FakeBat aufweist, aber verschleiert ist und Zeichenfolgen enthält, die mit GrayAlpha in Verbindung stehen. Insgesamt fand die Insikt Group drei primäre Infektionsmethoden: gefälschte Browser-Update-Seiten, gefälschte 7-Zip-Download-Seiten und das Traffic Distribution System (TDS) TAG-124. Es ist bemerkenswert, dass die Verwendung von TAG-124 bis zu diesem Bericht nicht öffentlich dokumentiert wurde. Obwohl beobachtet wurde, dass alle drei Infektionsvektoren gleichzeitig verwendet wurden, waren zum Zeitpunkt der Erstellung dieses Berichts nur die gefälschten 7-Zip-Downloadseiten noch aktiv, wobei erst im April 2025 neu registrierte Domains auftauchten. Eine weitere Analyse dieser Seiten führte zur Identifizierung einer Person, die möglicherweise an der GrayAlpha-Operation beteiligt ist.
Kurzfristig wird Verteidigern empfohlen, Anwendungszulassungslisten durchzusetzen, um das Herunterladen von scheinbar legitimen Dateien, die Malware enthalten, zu blockieren. In den Fällen, in denen Erlaubnislisten nicht praktikabel sind, ist eine umfassende Sicherheitsschulung der Mitarbeiter unerlässlich, insbesondere um verdächtige Verhaltensweisen wie unerwartete Aufforderungen zu Browser-Updates oder durch Malvertising verursachte Weiterleitungen zu erkennen. Darüber hinaus ist die Verwendung von Erkennungsregeln wie den YARA-Regeln und den Malware Intelligence Hunting-Abfragen, die in diesem Bericht vorgestellt werden, von entscheidender Bedeutung für die Identifizierung von aktuellen und früheren Infektionen. Diese Regeln sollten häufig aktualisiert und durch umfassendere Erkennungstechniken unterstützt werden, einschließlich der Überwachung von Netzwerkartefakten und der Verwendung von Recorded Future Network Intelligence, da sich Malware ständig weiterentwickelt.
Mit Blick auf die Zukunft müssen die Verteidiger das breitere Ökosystem der Cyberkriminellen beobachten, um neue Bedrohungen besser vorhersehen und darauf reagieren zu können. Die fortschreitende Professionalisierung der Cyberkriminalität erhöht die Wahrscheinlichkeit, dass Unternehmen aus verschiedenen Branchen ins Visier genommen werden. Dieser Trend wird durch die anhaltende Rentabilität der Cyberkriminalität, die begrenzte internationale Zusammenarbeit der Strafverfolgungsbehörden und die kontinuierliche Weiterentwicklung der Sicherheitstechnologien angetrieben, die wiederum die Innovation unter den Bedrohungsakteuren vorantreiben. Während die Aktivitäten von Advanced Persistent Threats (APT) oft mit staatlich unterstützten Organisationen in Verbindung gebracht werden, zeigt GrayAlpha, dass cyberkriminelle Gruppen ein ähnliches Maß an Beharrlichkeit an den Tag legen können. Ähnlich wie beim Ransomware-as-a-Service (RaaS)-Modell spezialisieren sich Cyberkriminelle zunehmend und arbeiten zusammen, sodass eine umfassende und anpassungsfähige Sicherheitsstrategie unerlässlich ist.
Wichtige Erkenntnisse
- Insikt Group hat eine neue Infrastruktur identifiziert, die mit GrayAlpha in Verbindung steht - einem Bedrohungsakteur, der sich mit der gemeinhin als FIN7 bekannten Gruppe überschneidet. Dazu gehören Domains, die für die Verteilung von Nutzdaten genutzt werden, sowie zusätzliche IP-Adressen, die vermutlich zur Infrastruktur des Bedrohungsakteurs gehören.
- Insikt Group hat einen neuen benutzerdefinierten PowerShell-Loader namens PowerNet identifiziert, der NetSupport RAT dekomprimiert und ausführt.
- Insikt Group identifizierte einen weiteren benutzerdefinierten Loader namens MaskBat, der Ähnlichkeiten mit FakeBat aufweist, jedoch verschleiert ist und Zeichenfolgen enthält, die mit GrayAlpha verknüpft sind.
- Insikt Group identifizierte drei Hauptinfektionsvektoren im Zusammenhang mit GrayAlpha: gefälschte Browser-Update-Seiten, gefälschte 7-Zip-Download-Seiten und das TDS TAG-124-Netzwerk. Vor diesem Bericht war die Verwendung des TDS TAG-124 Übertragungsmechanismus noch nicht öffentlich dokumentiert worden.
- Während alle drei Infektionsmethoden gleichzeitig eingesetzt wurden, scheinen zum Zeitpunkt der Erstellung dieses Artikels nur die gefälschten 7-Zip-Downloadseiten aktiv zu sein, wobei die neuesten Domains erst im April 2025 auftauchten.
- Durch die Analyse der 7-Zip-Seiten hat die Insikt Group eine Person identifiziert, die möglicherweise mit der GrayAlpha Operation in Verbindung steht.
Hintergrund
GrayAlpha ist eine Gruppe von Bedrohungsakteuren, die Überschneidungen mit der finanziell motivierten cyberkriminellen Gruppe FIN7 aufweist und wichtige Infrastrukturen, Werkzeuge und Methoden gemeinsam nutzt.
FIN7 ist mindestens seit 2013 aktiv und gilt als eine der produktivsten und technisch versiertesten Cyberkriminellengruppen, die weltweit Organisationen ins Visier nehmen. Die Gruppe ist wie ein professionelles Unternehmen organisiert, mit unterteilten Teams, die sich mit der Entwicklung von Malware, Phishing-Operationen, Geldwäsche und Management befassen. FIN7 ist vor allem für finanziell motivierte Kampagnen bekannt, bei denen es um den Diebstahl von Zahlungskartendaten und den unbefugten Zugriff auf Unternehmensnetzwerke geht, insbesondere im Einzelhandel, Gastgewerbe und Finanzsektor.
Im Jahr 2018 enthüllte das US-Justizministerium (US DOJ) die Anklageschriften gegen drei hochrangige FIN7-Mitglieder – Dmytro Fedorov, Fedir Hladyr und Andrii Kolpakov – und machte damit die umfangreichen Operationen der Gruppe gegen Unternehmen in 47 US-Bundesstaaten und mehreren Ländern deutlich. FIN7 operierte unter dem Namen einer Schein-Cybersecurity-Firma, „Combi Security“, und nutzte Social Engineering und maßgeschneiderte Malware, einschließlich Varianten von Carbanak, der von der Gruppe selbst entwickelten Backdoor, um Tausende von Kassensystemen zu kompromittieren und über 15 Millionen Zahlungskartendaten zu exfiltrieren. Die Anklagen des US-Justizministeriums enthüllten die hierarchische Kommandostruktur der Gruppe, in der die Mitglieder bestimmte Rollen bei Einbruchsoperationen, der Verwaltung der Malware und der logistischen Koordination einnahmen. Trotz der Unterbrechung der Führungsebene blieben die zugrundeliegende Infrastruktur und das Handwerk von FIN7 bestehen, sodass das breitere kriminelle Unternehmen weiterhin globale Organisationen ins Visier nehmen konnte.
FIN7 verwendet eine Reihe von benutzerdefinierter und wiederverwendeter Malware und Tools, um seine Operationen zu unterstützen. Die Gruppe verschafft sich in der Regel zunächst Zugang über Spearphishing-E-Mails mit bösartigen Anhängen oder Links, die auf kompromittierten Websites gehostet werden, oft kombiniert mit Callback-Phishing, um die Glaubwürdigkeit zu erhöhen. Die ersten Operationen von FIN7 nutzten die damals proprietäre Carbanak-Backdoor als primäres Befehls- und Kontrollsystem, das es der Gruppe ermöglichte, kompromittierte Hosts zu verwalten und die Aktivitäten nach der Kompromittierung zu koordinieren. POWERTRASH – ein einzigartig verschleierter, PowerShell-basierter In-Memory-Loader, der dem PowerSploit-Framework nachempfunden ist – war ebenfalls ein beständiges Merkmal der FIN7-Eindringlinge. Er wurde verwendet, um Nutzdaten wie DiceLoader und geknackte Core Impact-Implantate zu verteilen, um die Ausbeutung, seitliche Bewegung und Persistenz zu unterstützen. FIN7 entwickelte auch AuKill (auch bekannt als AvNeutralizer), ein maßgeschneidertes Dienstprogramm zur Umgehung von EDRs, das dazu dient, Sicherheitslösungen für Endgeräte zu deaktivieren. Später wurde berichtet, dass die Gruppe diese Software auf kriminellen Marktplätzen zum Verkauf angeboten hat. Bei seinen jüngsten Kampagnen wurde FIN7 beim Einsatz der Python-basierten Anubis-Backdoor beobachtet, die über eine speicherinterne Ausführung die vollständige Systemkontrolle ermöglicht und über Base64-kodierte Daten mit seiner Befehls- und Kontrollinfrastruktur kommuniziert.
Im Jahr 2023 weitete FIN7 seine Aktivitäten auf die Bereitstellung von Ransomware aus, indem es sich RaaS-Gruppen wie REvil und Maze anschloss und gleichzeitig seine eigenen RaaS-Programme verwaltete, darunter die inzwischen eingestellten Darkside und BlackMatter. In letzter Zeit wurde beobachtet, dass FIN7 NetSupport RAT in bösartige MSIX-Anwendungspakete eingebettet hat, die über gefälschte Update-Seiten und Malvertising verbreitet werden.
Bedrohungsanalyse
Infektionsvektoren
Im vergangenen Jahr hat die Insikt Group drei unterschiedliche Infektionsvektoren im Zusammenhang mit GrayAlpha identifiziert, die während sich überschneidender Zeiträume beobachtet wurden und letztendlich alle zu NetSupport RAT-Infektionen führten. Diese Vektoren umfassen:
- Infektionsvektor 1: Gefälschte Software-Updates, die sich als legitime Produkte wie Concur ausgeben
- Infektionsvektor 2: Bösartige 7-Zip-Download-Seiten
- Infektionsvektor 3: Verwendung des TAG-124 TDS
Bei diesen Kampagnen setzte GrayAlpha zwei Haupttypen von PowerShell-Ladern ein: ein eigenständiges, benutzerdefiniertes Skript namens PowerNet und einen dynamischen Lader – eine angepasste Variante von FakeBat – genannt MaskBat (siehe Abbildung 1).
Abbildung 1: GrayAlpha verwendet drei verschiedene Infektionsvektoren, die alle zu NetSupport RAT-Infektionen führen (Quelle: Recorded Future)
Infektionsvektor 1: Gefälschte Browser-Updates
Infrastrukturanalyse
Mindestens seit April 2024 wurde beobachtet, dass GrayAlpha gefälschte Browser-Update-Websites als Teil seiner Operationen einsetzt. Diese Websites geben sich als eine Reihe von legitimen Produkten und Diensten aus, darunter Google Meet, LexisNexis, Asana, AIMP, SAP Concur, CNN, das Wall Street Journal und Advanced IP Scanner, um nur einige zu nennen. Tabelle 1 enthält eine Liste der Domains, die mit dem Infektionsvektor 1 in Verbindung stehen und im Jahr 2025 immer noch aufgelöst wurden. Es ist jedoch wichtig zu beachten, dass eine aktive Domainauflösung nicht unbedingt auf eine fortlaufende Nutzung durch Bedrohungsakteure hindeutet; die zuletzt beobachtete Domain wurde erst im September 2024 aufgelöst. Eine umfassende Liste aller mit dem Infektionsvektor 1 verknüpften Domains – einschließlich derjenigen, die zu keinem Zeitpunkt im Jahr 2025 aufgelöst wurden – finden Sie in Anhang A.
| Domain | IP-Adresse | ASN | Zum ersten Mal gesehen | Zuletzt gesehen |
| 2024-aimp[.]info | 86[.]104[.]72[.]23 | AS44477 | 2024-07-04 | 2025-05-04 |
| advanced-ip-scanner[.]link | 138[.]124[.]183[.]79 | AS44477 | 2024-04-29 | 2025-04-30 |
| aimp[.]day | 138[.]124[.]183[.]176 | AS44477 | 2024-04-10 | 2025-04-11 |
| aimp[.]pm | 138[.]124[.]183[.]176 | AS44477 | 2024-04-22 | 2025-04-23 |
| aimp[.]xyz | 38[.]180[.]142[.]198 | AS29802 | 2024-05-08 | 2025-05-02 |
| concur[.]life | 103[.]35[.]191[.]222 | AS44477 | 2024-05-07 | 2025-05-04 |
| law2024[.]info | 91[.]228[.]10[.]81 | AS44477 | 2024-06-12 | 2025-05-04 |
| law2024[.]top | 91[.]228[.]10[.]81 | AS44477 | 2024-06-13 | 2025-05-05 |
| lexis2024[.]info | 103[.]35[.]191[.]137 | AS44477 | 2024-06-10 | 2025-05-05 |
| lexis2024[.]pro | 103[.]35[.]191[.]137 | AS44477 | 2024-06-11 | 2025-05-03 |
| lexisnex[.]pro | 103[.]35[.]191[.]137 | AS44477 | 2024-06-12 | 2025-05-04 |
| lexisnex[.]team | 103[.]35[.]191[.]137 | AS44477 | 2024-06-11 | 2025-05-05 |
| lexisnex[.]top | 103[.]35[.]191[.]137 | AS44477 | 2024-06-11 | 2025-05-03 |
| lexisnexis[.]day | 89[.]105[.]198[.]190 | AS204601 | 2024-05-01 | 2025-05-01 |
| lexisnexis[.]lat | 103[.]35[.]190[.]40 | AS44477 | 2024-06-14 | 2025-03-30 |
| lexisnexis[.]one | 103[.]35[.]191[.]137 | AS44477 | 2024-06-05 | 2025-05-04 |
| lexisnexis[.]pro | 103[.]35[.]191[.]137 | AS44477 | 2024-05-07 | 2025-05-05 |
| lexisnexis[.]top | 103[.]35[.]191[.]137 | AS44477 | 2024-06-07 | 2025-05-04 |
| meet-go[.]info | 103[.]113[.]70[.]158 | AS44477 | 2024-05-07 | 2025-05-02 |
| meet[.]com[.]de | 45[.]89[.]53[.]243 | AS44477 | 2024-05-23 | 2025-02-16 |
| sapconcur[.]top | 86[.]104[.]72[.]208 | AS44477 | 2024-06-13 | 2025-05-04 |
| thomsonreuter[.]info | 86[.]104[.]72[.]16 | AS44477 | 2024-06-15 | 2025-05-04 |
| thomsonreuter[.]pro | 86[.]104[.]72[.]16 | AS44477 | 2024-06-15 | 2025-05-05 |
| wsj[.]pm | 103[.]113[.]70[.]37 | AS44477 | 2024-04-19 | 2025-04-19 |
Tabelle 1: Domains, die mit Infection Vector 1 verknüpft sind und bis 2025 noch aufgelöst werden (Quelle: Recorded Future)
Gefälschte Update-Websites verwenden oft dasselbe Skript, das dazu entwickelt wurde, das Host-System zu identifizieren, und besteht aus den Funktionen getIPAddress() und trackPageOpen(). Wie bereits berichtet, senden diese Skripte in der Regel eine POST-Anfrage an eine CDN-ähnliche Domain, wie cdn40[.]click (siehe Abbildung 2). Diese Domains beginnen typischerweise mit „cdn“, gefolgt von einer Zufallszahl und einer Top-Level-Domain (TLD). Die bösartige Nutzlast wird üblicherweise über den /download.php-Endpunkt bereitgestellt. Allerdings hat die Insikt Group auch Variationen identifiziert, darunter /download/download.php, download2.php, und produktspezifische Pfade (wie /download/aimp_5.30.2541_w64-release.exe). In mindestens einem Fall schienen die Bedrohungsakteure eine kompromittierte Domain – worshipjapan[.]com – zu verwenden – zum Zwecke der Erfassung von Fingerabdrücken. Diese Aktivität wurde auf einer Website beobachtet, die mit der Domain as4na[.]com verbunden ist.
Abbildung 2: Typische JavaScript-Funktionen, die auf gefälschten Update-Seiten wie meet-go[.]click gefunden werden. (Quelle: URLScan)
Bemerkenswerterweise sind die meisten Domains, die mit Infektionsvektor 1 in Verbindung stehen, so gestaltet, dass sie legitime Softwareprodukte imitieren. Einige scheinen jedoch zufällig generiert oder willkürlich zu sein. Beispiele umfassen teststeststests003202[.]shop, das mit der E-Mail-Adresse kasalboov@web[.]de verknüpft ist, laut seinem WHOIS-Eintrag. Dieselbe E-Mail ist auch verbunden mit Domains wie lexisnexis[.]pro, aimp[.]xyz, concur[.]life, cdn3535[.]shop, und cdn251[.]lol. Zusätzliche Anomalien umfassen Domains wie gogogononono[.]top und gogogononono[.]xyz, beide werden unter der IP-Adresse 103[.]35[.]190[.]40 gehostet, welches auch lexisnexis[.]lat hostet.
Frühere Aktivitäten von FIN7 unter Verwendung eines gefälschten Advanced IP Scanners
Obwohl die ersten Advanced IP Scanner-Themen-Domains, die mit GrayAlpha verbunden sind, wie in diesem Bericht erörtert, erst Anfang 2024 aufgelöst wurden (siehe Abbildung 3), hatte die Insikt Group bereits in der zweiten Hälfte des Jahres 2023 beobachtet, dass FIN7 eine gefälschte Advanced IP Scanner-Domain nutzte, um Opfer zu kompromittieren. Konkret identifizierte die Insikt Group während eines kurzen Zeitraums Ende September 2023 über 212 infizierte Systeme, die mit einem von FIN7 kontrollierten Carbanak C2-Server 166[.]1[.]160[.]118 über TCP-Port 443 kommunizierten. Während diese Aktivität zunächst auf die Ausnutzung einer eintägigen Schwachstellen-Kette zurückgeführt wurde, ergab eine spätere Analyse, dass die Infektionen stattdessen mit der typosquatted Domain advanced-ip-sccanner[.]com verbunden waren – die zu diesem Zeitpunkt hinter Cloudflare gehostet wurde.
Abbildung 3: Gefälschte Download-Seite für Advanced IP Scanner auf advancedipscannerapp[.]com (Quelle: URLScan)
Hosting-Analyse
Die überwiegende Mehrheit der Domains, die mit dem Infektionsvektor 1 in Verbindung gebracht wurden, wurden zu einer Infrastruktur aufgelöst, die von dem kugelsicheren Hoster Stark Industries Solutions (AS44477) betrieben wird. Weitere Hostings wurden bei AS29802 (HIVELOCITY, Inc.) und AS41745 (FORTIS-AS) beobachtet (siehe Abbildung 4). Die Infrastruktur innerhalb von AS29802 bestand aus IP-Speicherplatz, der von dem kugelsicheren Hoster 3NT Solutions LLP kontrolliert und über HIVELOCITY angekündigt wurde. Die Hosting-Infrastruktur für Infection Vector 2 befindet sich hauptsächlich in AS41745, wie im Abschnitt Infection Vector 2: 7-Zip Impersonation dieses Berichts näher erläutert wird.
Abbildung 4: Aufschlüsselung der ASNs, wie sie mit Infektionsvektor 1 beobachtet wurden (Quelle: Recorded Future)
FORTIS-AS (AS41745), das häufig von der verantwortlichen Organisation „Baykov Ilya Sergeevich“ (ORG-HIP1-RIPE) erwähnt wird, wurde wiederholt in Aktivitäten im Zusammenhang mit FIN7 eingesetzt. Zusätzlich zur Infrastruktur, die mit Stark Industries Solutions verbunden ist, hat FORTIS-AS eine Infrastruktur gehostet, die zur Bereitstellung von Malware-Familien wie POWERTRASH und DiceLoader verwendet wird, die beide direkt mit FIN7-Operationen in Verbindung stehen.
Laut dem WHOIS-Eintrag für den Netblock 85[.]209[.]134[.]0/24, der von GrayAlpha verwendet wird, ist der Block Baykov Ilya Sergeevich (ORG-HIP1-RIPE) zugewiesen. Dieses Unternehmen ist eng mit dem Infrastrukturdienstleister (ISP) „hip-hosting“ verbunden, mit mehreren Kontaktpunkten und technischen Verweisen - einschließlich Domänen wie fortis[.]host und hip-hosting[.]com – die im gesamten Datensatz auftauchen (siehe Abbildung 5).
Abbildung 5: Kontaktdaten, die mit Baykov Ilya Sergeevich verknüpft sind (Quelle: Recorded Future)
Insikt Group geht mit hoher Wahrscheinlichkeit davon aus, dass „hip-hosting“ der ISP hinter der Entität „Baykov Ilya Sergeevich“ (ORG-HIP1-RIPE) ist. Diese Einschätzung wird durch mehrere bestätigende Datenpunkte im WHOIS-Datensatz und im RIPE ORG Objekt für ORG-HIP1-RIPE unterstützt.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Verwandt