{"id":249751,"date":"2021-02-18T01:15:47","date_gmt":"2021-02-18T00:15:47","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=249751"},"modified":"2023-04-11T07:07:01","modified_gmt":"2023-04-11T05:07:01","slug":"checkpoint-enttarnt-hacker-hinter-apomacrosploit-malware-builder","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/02\/18\/checkpoint-enttarnt-hacker-hinter-apomacrosploit-malware-builder\/","title":{"rendered":"CheckPoint enttarnt Hacker hinter APOMacroSploit Malware Builder"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Sicherheitsforscher der Firma CheckPoint haben wohl die Entwickler hinter dem APOMacroSploit Malware Builder enttarnt. Die franz\u00f6sischen Strafverfolger wurden eingeschaltet, um der Sache nachzugehen.<\/p>\n<p><!--more--><\/p>\n<h2>Worum geht es?<\/h2>\n<p>Der <a href=\"https:\/\/web.archive.org\/web\/20221209033642\/https:\/\/research.checkpoint.com\/2021\/apomacrosploit-apocalyptical-fud-race\/\" target=\"_blank\" rel=\"noopener\">APOMacroSploit Malware Builder<\/a> ist schlicht ein Tool in Form eines Macro Exploit-Generators f\u00fcr Office-Dateien, der in diversen Malware-Kampagnen eingesetzt wird. Der APOMacroSploit Office-Malware-Builder wurde erst Ende November 2020 durch CheckPoint entdeckt. Der Generator wurde zur Gestaltung von b\u00f6sartigen E-Mails eingesetzt, mit denen mehr als 80 CheckPoint -Kunden weltweit angegriffen wurden.<\/p>\n<p>Bei der Untersuchung fanden die Sicherheitsforscher von CheckPoint heraus, dass dieses Tool Funktionen enth\u00e4lt, um die Erkennung durch Windows Defender zu umgehen und t\u00e4glich aktualisiert wird, um niedrige Erkennungsraten zu gew\u00e4hrleisten. Die Malware-Infektion beginnt, wenn der dynamische Inhalt des angeh\u00e4ngten XLS-Dokuments aktiviert wird und ein XLM-Makro automatisch den Download eines Windows-Systembefehlsskripts startet.<\/p>\n<p>Die CheckPoint-Sicherheitsleute haben mehrere F\u00e4lle von Angriffen im Zusammenhang mit diesem Tool verfolgt. Ziel der Angriffe war es, den Rechner des Opfers fernzusteuern und Informationen zu stehlen. Anhand der Anzahl der angegriffenen Kunden und des niedrigsten Optionspreises, der f\u00fcr dieses Produkt verlangt wird, sch\u00e4tzen die CheckPoint-Leute, dass die beiden Hacker hinter dem Toolkit in 1,5 Monaten mindestens 5000 US-Dollar durch den Verkauf des APOMacroSploit-Produkts verdient haben.<\/p>\n<p><a href=\"https:\/\/twitter.com\/Dinosn\/status\/1362142444251447306\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/7DF2U48.png\" \/><\/a><\/p>\n<h2>Identit\u00e4t der beiden franz\u00f6sischen Hacker enttarnt<\/h2>\n<p>Im Blog-Beitrag <a href=\"https:\/\/web.archive.org\/web\/20221209033642\/https:\/\/research.checkpoint.com\/2021\/apomacrosploit-apocalyptical-fud-race\/\" target=\"_blank\" rel=\"noopener\">ApoMacroSploit : Apocalyptical FUD race<\/a> beschreiben die CheckPoint-Leute Details und wie sie die beiden Hauptt\u00e4ter enttarnen konnten. An den Kampagnen sind ca. 40 verschiedene Hacker beteiligt, die bei ihren Angriffen 100 verschiedene E-Mail-Absender verwenden. Insgesamt ergab die CheckPoint-Telemetrie, dass Angriffe in mehr als 30 verschiedenen L\u00e4ndern stattfanden.<\/p>\n<p>Das urspr\u00fcngliche b\u00f6sartige Dokument, das die Opfer als E-Mail-Anhang erhielten, war eine XLS-Datei, die ein verschleiertes XLM-Makro namens Macro 4.0 enthielt. Das Makro wird automatisch ausgel\u00f6st, wenn das Opfer das Dokument \u00f6ffnet, und l\u00e4dt eine BAT-Datei von cutt.ly herunter. Dort wird der attrib-Befehl ausgef\u00fchrt, um die BAT-Datei auf dem Rechner des Opfers zu verstecken.<\/p>\n<p>In dieser Phase des Angriffs haben die Angreifer einen entscheidenden Fehler gemacht. Die cutt[.]ly-Domain leitet direkt auf einen Download-Server um und f\u00fchrt die Anfrage nicht im Backend aus. Diese Server hosten die BAT-Dateien, wobei f\u00fcr jede Datei der Nickname des Kunden, der die Malware nutzt, innerhalb des Dateinamens eingef\u00fcgt wurde.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/web.archive.org\/web\/20210524143127\/https:\/\/research.checkpoint.com\/wp-content\/uploads\/2021\/02\/image-11.png\" \/> (Quelle: CheckPoint)<\/p>\n<p>Der APOMacroSploit wird auf HackForums[.]net von zwei Benutzern mit den Namen Apocaliptique (Apo) und Nitrix verkauft. Die Sicherheitsforscher haben auch <a href=\"https:\/\/discord.com\/channels\/764830353927569409\/764832717267140629\" target=\"_blank\" rel=\"noopener\">einen Discord-Kanal gefunden<\/a>, in dem Nitrix als Entwickler des Tools genannt wird und Apo der Admin ist. \u00dcber diverse Sozial Media- und Forenprofile (YouTube, Skype) konnten die Sicherheitsforscher von CheckPoint den Ursprung der Entwickler bis nach Frankreich verfolgen. Der Hacker hatte den Fehler begangen, ein Bild von einem Ticket auf Twitter zu posten, das er f\u00fcr ein Konzert im Dezember 2014 gekauft hat.<\/p>\n<p>Dann gab es bei der Suche in Social Media-Profilen einen Treffer bei einem Facebook-Konto, wo das gleiche Bild des Tickets auftauchte. Laut seinem Facebook-Konto lebte Nitrix tats\u00e4chlich in Noisy-Le-Grand in Frankreich. Seine Nitrix LinkedIn-Seite verr\u00e4t, wo der Hacker studiert hat und dass er 4 Jahre Erfahrung als Softwareentwickler hat.<\/p>\n<p>Der zweite Hacker nutzen den Namen Apo und den Nicknamen \"Apocaliptique\"\u00a0 in HackForums[.]net. Die CheckPoint-Leute haben seinen Skype-Nicknamen apocaliptique93\u00a0 herausgefunden. Auf Grunde diverser Sachverhalte gehen die Sicherheitsforscher davon aus, dass Apocaliptique wie Nitrix in Frankreich ans\u00e4ssig ist. Sein Pseudonym, das er verwendet, ist entweder \"apo93\" oder \"apocaliptique93\". Die \"93\" ein \u00fcbliches Suffix f\u00fcr franz\u00f6sische B\u00fcrger, die in Seine Saint Denis leben.<\/p>\n<p>Es wurde auch ermittelt, dass der Hacker mit diesem Nickname und Skype-Namen League of Legends-Konten spielt und diese auch verkauft. Der CheckPoint-Beitrag enth\u00e4lt weitere Details der Operationen. CheckPoint hat die Informationen an franz\u00f6sische Beh\u00f6rden zur Verfolgung weitergegeben. (<a href=\"https:\/\/thehackernews.com\/2021\/02\/researchers-unmask-hackers-behind.html\" target=\"_blank\" rel=\"noopener\">via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheitsforscher der Firma CheckPoint haben wohl die Entwickler hinter dem APOMacroSploit Malware Builder enttarnt. Die franz\u00f6sischen Strafverfolger wurden eingeschaltet, um der Sache nachzugehen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-249751","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/249751","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=249751"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/249751\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=249751"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=249751"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=249751"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}