Zscaler waarschuwt voor HydroJiin-campagne die SSL-encryptie misbruikt

Amsterdam, 29 april 2021 – Het Zscaler ThreatLabZ-team heeft een interessante campagne ontdekt bestaande uit meerdere infostealer RAT-families en miner malware. Deze campagne is omgedoopt tot ‘HydroJiin’ op basis van aliassen gebruikt door de threat actor. Deze threat actor verkoopt malware en hangt rond in online fora die vaak bezocht worden door onervaren tot mid-level cybercriminelen. Zscaler vermoedt dat de malware-auteur een wijd verspreide campagne voert, bestaande uit verschillende commodity- en custom-malware, om informatie te stelen en te verkopen op ondergrondse marktplaatsen.

Vergelijkbaar met andere aanvallen die beschreven worden in het recente ThreatLabZ State of Encrypted Attacks-rapport, onderstreept ook deze campagne het belang van continue SSL-inspectie en een zero trust-beleid om initiële infectie te voorkomen alsook de communicatie naar C&C servers. Ondanks dat de impact van deze specifieke campagne niet bekend is, wordt dit type malware wel breed aangeboden op ondergrondse markten. De campagne zelf is niet enorm geavanceerd. Wel vergroot het gebruik van een aantal verschillende technieken de kans op het succesvol infiltreren van organisaties die niet de juiste maatregelen nemen.

SSL-inspectie
Bij een aanval van deze campagne wordt versleuteld verkeer misbruikt om de malware te verbergen. Ondanks dat SSL-encryptie ontwikkeld is om verkeer te beschermen, lijkt dit nu ook op zichzelf een potentiële dreiging te worden. Het scannen van SSL-verkeer kan hier een uitkomst bieden. Cybercriminelen weten dat encryptie de standaard is voor het beschermen van data. Zij weten echter ook dat organisaties het merendeel van hun encrypted verkeer nog steeds niet scannen. Uit het ThreatLabZ State of Encrypted Attacks-rapport bleek dan ook dat de Zscaler-cloud tussen januari en september 2020 zo’n 6,6 miljard securitydreigingen blokkeerde die verborgen waren in versleuteld verkeer. Dit is een gemiddelde toename van 260% ten opzichte van 2019. Deze cijfers tonen het enorme risico van encrypted verkeer wanneer het zonder inspectie binnenkomt in het bedrijfsnetwerk. Om deze reden zou SSL-scanning een belangrijke component moeten worden van de beveiligingsmaatregelen van iedere organisatie.

Deze HydroJiin-campagne gebruikt verschillende payloads en infectie-vectoren, van commodity RAT’s tot custom malware, e-mail-spam en backdooring/masquerading als gekraakte software. Een aantal unieke aspecten van deze campagne zijn:

• Multilevel infectieketen van payloads;
• Op maat gemaakte python-based backdoor uitgevoerd naast andere RAT’s (Netwired en Quasar);
• Controle van python voor macOS, wat aangeeft dat er in de toekomst meer platformonafhankelijke functionaliteit mogelijk is;
• Campagne is gerelateerd aan een dreigingsactor die betrokken is bij de distributie van verschillende kwaadaardige tools via een dedicated malware e-commerce website;
• Mogelijkheid van backdoored malware payload vergelijkbaar met CobianRAT;
• Niet zeldzaam, wel intensief gebruik van pastebin voor hosten van encoded payloads.

Afbeelding 1: infectieketen

De infectie start met een downloader die verschillende payloads downloadt. Zscaler kon de leveringsvector van deze downloader niet bevestigen, maar vermoedt het gebruik van spam-e-mails en gekraakte software, zoals in eerdere campagnes. Als de aanvallers initiële compromittering eenmaal bereiken, downloadt de downloader drie bestanden:

• Injector – Wordt gebruikt als een loader om gedownloade payloads in legitieme processen te injecteren.
• Netwired RAT – Een commodity RAT-malware die wordt gebruikt om geïnfecteerde systemen te beheren en informatie te stelen.
• DownloaderShellcode – Obfuscated Meterpreter-based shellcode om verdere payloads te downloaden.
  • Deze shellcode downloadt een Pyrome python backdoor. Deze zal daarnaast ook een socat en xmring miner downloaden en uiteindelijk zal xmring miner een andere RAT downloaden, genaamd Quasar.

Conclusie
HydroJiin gaat al een tijdje mee. Hij verkoopt meerdere malware-types naast het uitvoeren van zijn eigen campagnes. De malware-payload download-stats van pastebin geven aan dat hij redelijk succesvol is. Deze actor mag dan wel niet enorm geavanceerd zijn, hij is wel volhardend door verschillende tools, technieken en methoden te gebruiken om zijn kansen op succes te vergroten. SSL-inspectie is essentieel om dreigingen die versleuteld verkeer misbruiken om hun kwaadaardige intenties te verbloemen, te detecteren en blokkeren. Het Zscaler ThreatLabZ-team zal deze campagne blijven volgen en monitoren.

Bezoek de website voor meer informatie en een technische analyse van deze campagne: https://www.zscaler.com/blogs/security-research/look-hydrojiin-campaign