GrayAlpha verwendet verschiedene Infektionsvektoren, um PowerNet Loader und NetSupport RAT bereitzustellen

Executive Summary

Die Insikt Group hat eine neue Infrastruktur identifiziert, die mit GrayAlpha in Verbindung steht, einem Bedrohungsakteur, der sich mit der finanziell motivierten Gruppe überschneidet, die gemeinhin als FIN7 bezeichnet wird. Diese neu identifizierte Infrastruktur umfasst Domains, die für die Verteilung der Nutzlast verwendet werden, sowie weitere IP-Adressen, von denen angenommen wird, dass sie mit GrayAlpha in Verbindung stehen. Insikt Group entdeckte einen benutzerdefinierten PowerShell-Loader namens PowerNet, der NetSupport RAT dekomprimiert und ausführt. Insikt Group hat einen weiteren benutzerdefinierten Lader namens MaskBat identifiziert, der Ähnlichkeiten mit FakeBat aufweist, aber verschleiert ist und Zeichenfolgen enthält, die mit GrayAlpha in Verbindung stehen. Insgesamt fand die Insikt Group drei primäre Infektionsmethoden: gefälschte Browser-Update-Seiten, gefälschte 7-Zip-Download-Seiten und das Traffic Distribution System (TDS) TAG-124. Es ist bemerkenswert, dass die Verwendung von TAG-124 bis zu diesem Bericht nicht öffentlich dokumentiert wurde. Obwohl beobachtet wurde, dass alle drei Infektionsvektoren gleichzeitig verwendet wurden, waren zum Zeitpunkt der Erstellung dieses Berichts nur die gefälschten 7-Zip-Downloadseiten noch aktiv, wobei erst im April 2025 neu registrierte Domains auftauchten. Eine weitere Analyse dieser Seiten führte zur Identifizierung einer Person, die möglicherweise an der GrayAlpha-Operation beteiligt ist.

Kurzfristig wird Verteidigern empfohlen, Anwendungszulassungslisten durchzusetzen, um das Herunterladen von scheinbar legitimen Dateien, die Malware enthalten, zu blockieren. In den Fällen, in denen Erlaubnislisten nicht praktikabel sind, ist eine umfassende Sicherheitsschulung der Mitarbeiter unerlässlich, insbesondere um verdächtige Verhaltensweisen wie unerwartete Aufforderungen zu Browser-Updates oder durch Malvertising verursachte Weiterleitungen zu erkennen. Darüber hinaus ist die Verwendung von Erkennungsregeln wie den YARA-Regeln und den Malware Intelligence Hunting-Abfragen, die in diesem Bericht vorgestellt werden, von entscheidender Bedeutung für die Identifizierung von aktuellen und früheren Infektionen. Diese Regeln sollten häufig aktualisiert und durch umfassendere Erkennungstechniken unterstützt werden, einschließlich der Überwachung von Netzwerkartefakten und der Verwendung von Recorded Future Network Intelligence, da sich Malware ständig weiterentwickelt.

Mit Blick auf die Zukunft müssen die Verteidiger das breitere Ökosystem der Cyberkriminellen beobachten, um neue Bedrohungen besser vorhersehen und darauf reagieren zu können. Die fortschreitende Professionalisierung der Cyberkriminalität erhöht die Wahrscheinlichkeit, dass Unternehmen aus verschiedenen Branchen ins Visier genommen werden. Dieser Trend wird durch die anhaltende Rentabilität der Cyberkriminalität, die begrenzte internationale Zusammenarbeit der Strafverfolgungsbehörden und die kontinuierliche Weiterentwicklung der Sicherheitstechnologien angetrieben, die wiederum die Innovation unter den Bedrohungsakteuren vorantreiben. Während die Aktivitäten von Advanced Persistent Threats (APT) oft mit staatlich unterstützten Organisationen in Verbindung gebracht werden, zeigt GrayAlpha, dass cyberkriminelle Gruppen ein ähnliches Maß an Beharrlichkeit an den Tag legen können. Ähnlich wie beim Ransomware-as-a-Service (RaaS)-Modell spezialisieren sich Cyberkriminelle zunehmend und arbeiten zusammen, sodass eine umfassende und anpassungsfähige Sicherheitsstrategie unerlässlich ist.

Wichtige Erkenntnisse

• Insikt Group hat eine neue Infrastruktur identifiziert, die mit GrayAlpha in Verbindung steht - einem Bedrohungsakteur, der sich mit der gemeinhin als FIN7 bekannten Gruppe überschneidet. Dazu gehören Domains, die für die Verteilung von Nutzdaten genutzt werden, sowie zusätzliche IP-Adressen, die vermutlich zur Infrastruktur des Bedrohungsakteurs gehören.
• Insikt Group hat einen neuen benutzerdefinierten PowerShell-Loader namens PowerNet identifiziert, der NetSupport RAT dekomprimiert und ausführt.
• Insikt Group identifizierte einen weiteren benutzerdefinierten Loader namens MaskBat, der Ähnlichkeiten mit FakeBat aufweist, jedoch verschleiert ist und Zeichenfolgen enthält, die mit GrayAlpha verknüpft sind.
• Insikt Group identifizierte drei Hauptinfektionsvektoren im Zusammenhang mit GrayAlpha: gefälschte Browser-Update-Seiten, gefälschte 7-Zip-Download-Seiten und das TDS TAG-124-Netzwerk. Vor diesem Bericht war die Verwendung des TDS TAG-124 Übertragungsmechanismus noch nicht öffentlich dokumentiert worden.
• Während alle drei Infektionsmethoden gleichzeitig eingesetzt wurden, scheinen zum Zeitpunkt der Erstellung dieses Artikels nur die gefälschten 7-Zip-Downloadseiten aktiv zu sein, wobei die neuesten Domains erst im April 2025 auftauchten.
• Durch die Analyse der 7-Zip-Seiten hat die Insikt Group eine Person identifiziert, die möglicherweise mit der GrayAlpha Operation in Verbindung steht.

Hintergrund

GrayAlpha ist eine Gruppe von Bedrohungsakteuren, die Überschneidungen mit der finanziell motivierten cyberkriminellen Gruppe FIN7 aufweist und wichtige Infrastrukturen, Werkzeuge und Methoden gemeinsam nutzt.

FIN7 ist seit mindestens 2013 aktiv und gilt als eine der produktivsten und technisch versiertesten Cyberkriminellengruppen, die es auf Organisationen weltweit abgesehen haben. Die Gruppe ist wie ein professionelles Unternehmen organisiert, mit unterteilten Teams, die sich um die Entwicklung von Malware, Phishing-Operationen, Geldwäsche und Verwaltung kümmern. FIN7 ist vor allem für finanziell motivierte Kampagnen bekannt, bei denen es um den Diebstahl von Zahlungskartendaten und den unbefugten Zugriff auf Unternehmensnetzwerke geht, insbesondere im Einzelhandel, Gastgewerbe und Finanzsektor.

Im Jahr 2018 veröffentlichte das US-Justizministerium (US DOJ) die Anklageschriften gegen drei hochrangige FIN7-Mitglieder – Dmytro Fedorov, Fedir Hladyr und Andrii Kolpakov – und hob die umfangreichen Operationen der Gruppe gegen Unternehmen in 47 US-Bundesstaaten und mehreren Ländern hervor. FIN7 firmiert unter dem Namen einer Schein-Cybersicherheitsfirma, "Combi Security", und nutzt Social Engineering und angepasste Malware, einschließlich Varianten von Carbanak, der intern entwickelten Hintertür der Gruppe, um Tausende von Point-of-Sale-Systemen zu kompromittieren und über 15 Millionen Zahlungskartendatensätze zu exfiltrieren. Die Strafverfolgung des US-Justizministeriums enthüllte die hierarchische Befehlsstruktur der Gruppe, bei der die Mitglieder definierte Rollen bei Eindringlingen, der Verwaltung von Malware und der logistischen Koordination erfüllten. Trotz der Unterbrechung seiner Führungsrolle blieben die zugrunde liegende Infrastruktur und das Handelshandwerk von FIN7 bestehen, was es dem kriminellen Unternehmen ermöglichte, weiterhin globale Organisationen ins Visier zu nehmen.

FIN7 verwendet zur Unterstützung seiner Operationen eine Reihe von benutzerdefinierter und zweckentfremdeter Malware und Tools. Die Gruppe verschafft sich in der Regel den ersten Zugriff durch Spearphishing-E-Mails mit schädlichen Anhängen oder Links auf kompromittierten Websites, oft in Kombination mit Callback-Phishing, um ihre Glaubwürdigkeit zu erhöhen. Bei den frühen Operationen von FIN7 wurde die damals proprietäre Carbanak-Hintertür als primäres Befehls- und Kontroll-Framework genutzt, wodurch die Gruppe kompromittierte Hosts verwalten und Aktivitäten nach der Kompromittierung koordinieren konnte. POWERTRASH – ein einzigartig verschleierter, PowerShell-basierter In-Memory-Loader, der aus dem PowerSploit-Framework adaptiert wurde – war auch ein beständiges Merkmal von FIN7-Einbrüchen und wurde verwendet, um Nutzlasten wie DiceLoader und geknackte Core Impact-Implantate einzusetzen, um Ausnutzung, laterale Bewegung und Persistenz zu unterstützen. FIN7 entwickelte außerdem AuKill (auch bekannt als AvNeutralizer), ein benutzerdefiniertes EDR-Umgehungsprogramm zum Deaktivieren von Endpunktsicherheitslösungen. Später wurde berichtet , dass die Gruppe es auf kriminellen Marktplätzen zum Verkauf angeboten habe. In seinen jüngsten Kampagnen wurde beobachtet, dass FIN7 die Python-basierte Anubis-Hintertür einsetzte, die über die In-Memory-Ausführung die vollständige Systemkontrolle ermöglicht und über Base64-codierte Daten mit seiner Befehls- und Kontrollinfrastruktur kommuniziert.

Im Jahr 2023 erweiterte FIN7 seine Aktivitäten um den Einsatz von Ransomware durch Verbindungen zu RaaS-Gruppen wie REvil und Maze und verwaltete gleichzeitig seine eigenen RaaS-Programme, darunter die inzwischen eingestellten Darkside und BlackMatter. In jüngerer Zeit wurde beobachtet, dass FIN7 NetSupport RAT nutzt, das in bösartige MSIX-Anwendungspakete eingebettet ist, die über gefälschte Update-Sites und Malvertising bereitgestellt werden.

Bedrohungsanalyse

Infektionsvektoren

Im vergangenen Jahr hat die Insikt Group drei unterschiedliche Infektionsvektoren im Zusammenhang mit GrayAlpha identifiziert, die während sich überschneidender Zeiträume beobachtet wurden und letztendlich alle zu NetSupport RAT-Infektionen führten. Diese Vektoren umfassen:

• Infektionsvektor 1: Gefälschte Software-Updates, die sich als legitime Produkte wie Concur ausgeben
• Infektionsvektor 2: Bösartige 7-Zip-Download-Seiten
• Infektionsvektor 3: Verwendung des TAG-124 TDS

Bei diesen Kampagnen setzte GrayAlpha zwei Haupttypen von PowerShell-Ladern ein: ein eigenständiges, benutzerdefiniertes Skript namens PowerNet und einen dynamischen Lader – eine angepasste Variante von FakeBat – genannt MaskBat (siehe Abbildung 1).

Abbildung 1: GrayAlpha verwendet drei verschiedene Infektionsvektoren, die alle zu NetSupport RAT-Infektionen führen (Quelle: Recorded Future)

Infektionsvektor 1: Gefälschte Browser-Updates

Infrastrukturanalyse

Mindestens seit April 2024 wurde beobachtet, dass GrayAlpha gefälschte Browser-Update-Websites als Teil seiner Operationen einsetzt. Diese Websites geben sich als eine Reihe von legitimen Produkten und Diensten aus, darunter Google Meet, LexisNexis, Asana, AIMP, SAP Concur, CNN, das Wall Street Journal und Advanced IP Scanner, um nur einige zu nennen. Tabelle 1 enthält eine Liste der Domains, die mit dem Infektionsvektor 1 in Verbindung stehen und im Jahr 2025 immer noch aufgelöst wurden. Es ist jedoch wichtig zu beachten, dass eine aktive Domainauflösung nicht unbedingt auf eine fortlaufende Nutzung durch Bedrohungsakteure hindeutet; die zuletzt beobachtete Domain wurde erst im September 2024 aufgelöst. Eine umfassende Liste aller mit dem Infektionsvektor 1 verknüpften Domains – einschließlich derjenigen, die zu keinem Zeitpunkt im Jahr 2025 aufgelöst wurden – finden Sie in Anhang A.

Tabelle 1: Domains, die mit Infektionsvektor 1 verknüpft sind, lösen sich ab 2025 noch auf (Quelle: Recorded Future)

Gefälschte Update-Websites verwenden oft das gleiche Skript, das für die Erstellung von Fingerabdrücken auf dem Host-System entwickelt wurde und aus den Funktionen getIPAddress() und trackPageOpen() besteht. Wie bereits berichtet, senden diese Skripte in der Regel eine POST-Anfrage an eine CDN-Themendomäne, z. B . cdn40[.]klicken (siehe Abbildung 2). Diese Domains beginnen in der Regel mit "cdn", gefolgt von einer Zufallszahl und einer Top-Level-Domain (TLD). Die bösartige Nutzlast wird in der Regel über den /download.php-Endpunkt übermittelt. Die Insikt Group hat jedoch auch Abweichungen festgestellt, darunter /download/download.php, download2.php, und produktspezifische Pfade (z. B. /download/aimp_5.30.2541_w64-release.exe). Darüber hinaus schienen die Bedrohungsakteure in mindestens einem Fall eine kompromittierte Domain zu verwenden — worshipjapan[.]COM — zum Zwecke der Abnahme von Fingerabdrücken. Diese Aktivität wurde auf einer Website beobachtet, die mit der Domain as4na[.]com.

Figur 2: Typische JavaScript-Funktionen, die auf gefälschten Update-Seiten wie meet-go[.]klicken (Quelle: URLScan)

Bemerkenswerterweise sind die meisten Domains, die mit Infektionsvektor 1 in Verbindung stehen, so gestaltet, dass sie legitime Softwareprodukte imitieren. Einige scheinen jedoch zufällig generiert oder willkürlich zu sein. Beispiele umfassen teststeststests003202[.]shop, das mit der E-Mail-Adresse kasalboov@web[.]de verknüpft ist, laut seinem WHOIS-Eintrag. Dieselbe E-Mail ist auch verbunden mit Domains wie lexisnexis[.]pro, aimp[.]xyz, concur[.]life, cdn3535[.]shop, und cdn251[.]lol. Zusätzliche Anomalien umfassen Domains wie gogogononono[.]top und gogogononono[.]xyz, beide werden unter der IP-Adresse 103[.]35[.]190[.]40 gehostet, welches auch lexisnexis[.]lat hostet.

Frühere Aktivitäten von FIN7 unter Verwendung eines gefälschten Advanced IP Scanners

Obwohl die ersten mit GrayAlpha verknüpften Advanced IP Scanner-Domains, wie in diesem Bericht beschrieben, Anfang 2024 mit der Auflösung begannen (siehe Abbildung 3), hatte die Insikt Group bereits in der zweiten Hälfte des Jahres 2023 beobachtet, dass FIN7 eine gefälschte Advanced IP Scanner-Domain nutzte, um Opfer zu kompromittieren. Konkret identifizierte die Insikt Group während eines kurzen Zeitraums Ende September 2023 über 212 infizierte Systeme, die mit einem FIN7-kontrollierten Carbanak C2-Server 166[.]1[.]160[.]Nr. 118 über den TCP-Port 443. Während diese Aktivität zunächst auf die Ausnutzung einer eintägigen Schwachstellenkette zurückgeführt wurde, ergab eine spätere Analyse, dass die Infektionen stattdessen mit der typosquatted Domain advanced-ip-sccanner[.]COM – das zu dieser Zeit hinter Cloudflare gehostet wurde.

Figur 3: Gefälschte Download-Seite für Advanced IP Scanner auf advancedipscannerapp[.]COM (Quelle: URLScan)

Hosting-Analyse

Die überwiegende Mehrheit der Domains, die mit dem Infektionsvektor 1 in Verbindung gebracht wurden, wurden zu einer Infrastruktur aufgelöst, die von dem kugelsicheren Hoster Stark Industries Solutions (AS44477) betrieben wird. Weitere Hostings wurden bei AS29802 (HIVELOCITY, Inc.) und AS41745 (FORTIS-AS) beobachtet (siehe Abbildung 4). Die Infrastruktur innerhalb von AS29802 bestand aus IP-Speicherplatz, der von dem kugelsicheren Hoster 3NT Solutions LLP kontrolliert und über HIVELOCITY angekündigt wurde. Die Hosting-Infrastruktur für Infection Vector 2 befindet sich hauptsächlich in AS41745, wie im Abschnitt Infection Vector 2: 7-Zip Impersonation dieses Berichts näher erläutert wird.

Abbildung 4: Aufschlüsselung der ASNs, wie sie mit Infektionsvektor 1 beobachtet wurden (Quelle: Recorded Future)

FORTIS-AS (AS41745), das häufig von der verantwortlichen Organisation „Baykov Ilya Sergeevich“ (ORG-HIP1-RIPE) erwähnt wird, wurde wiederholt in Aktivitäten im Zusammenhang mit FIN7 eingesetzt. Zusätzlich zur Infrastruktur, die mit Stark Industries Solutions verbunden ist, hat FORTIS-AS eine Infrastruktur gehostet, die zur Bereitstellung von Malware-Familien wie POWERTRASH und DiceLoader verwendet wird, die beide direkt mit FIN7-Operationen in Verbindung stehen.

Laut dem WHOIS-Eintrag für den Netblock 85[.]209[.]134[.]0/24, der von GrayAlpha verwendet wird, ist der Block Baykov Ilya Sergeevich (ORG-HIP1-RIPE) zugewiesen. Dieses Unternehmen ist eng mit dem Infrastrukturdienstleister (ISP) „hip-hosting“ verbunden, mit mehreren Kontaktpunkten und technischen Verweisen - einschließlich Domänen wie fortis[.]host und hip-hosting[.]com – die im gesamten Datensatz auftauchen (siehe Abbildung 5).

Abbildung 5: Kontaktdaten, die mit Baykov Ilya Sergeevich verknüpft sind (Quelle: Recorded Future)

Die Insikt Group geht mit hoher Sicherheit davon aus, dass "Hip-Hosting" der ISP hinter dem Unternehmen "Baykov Ilya Sergeevich" (ORG-HIP1-RIPE) ist. Diese Bewertung wird durch mehrere bestätigende Datenpunkte im WHOIS-Eintrag und im RIPE ORG-Objekt für ORG-HIP1-RIPE unterstützt.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.