WARMCOOKIE erneut besuchen
Elastic Security Labs verfolgt weiterhin die Entwicklungen in der WARMCOOKIE-Codebasis und deckt neue Infrastrukturen auf, die mit der Hintertür verbunden sind. Seit unserem ursprünglichen Beitrag haben wir fortlaufende Aktualisierungen der Codefamilie und anhaltende Aktivitäten rund um die Hintertür beobachtet, darunter neue Infektionen und ihre Verwendung mit neu aufkommenden Loadern. Eine aktuelle Entdeckung des IBM X-Force-Teams hat einen neuen Malware-as-a-Service (MaaS)-Loader namens CASTLEBOT hervorgehoben, der WARMCOOKIE verbreitet.
In diesem Artikel werden wir die neuen Funktionen überprüfen, die WARMCOOKIE seit seiner Erstveröffentlichung hinzugefügt wurden. Anschließend präsentieren wir die extrahierten Konfigurationsinformationen aus verschiedenen Beispielen.
Wichtigste Erkenntnisse
- Die WARMCOOKIE-Backdoor wird aktiv entwickelt und verbreitet
- Die Kampagnen-ID, ein kürzlich hinzugefügter Marker, gibt Aufschluss über die Ausrichtung auf bestimmte Dienste und Plattformen
- WARMCOOKIE-Operatoren scheinen Varianten-Builds zu erhalten, die sich durch ihre Befehlshandler und Funktionalität unterscheiden
- Elastic Security Labs hat ein Standardzertifikat identifiziert, mit dem neue WARMCOOKIE C2-Server verfolgt werden können
WARMCOOKIE-Zusammenfassung
Im Sommer 2024 veröffentlichten wir erstmals eine Studie zu WARMCOOKIE, in der wir seine Funktionsweise und seinen Einsatz im Rahmen von Phishing-Kampagnen zum Thema Personalbeschaffung detailliert beschrieben. Seitdem haben wir verschiedene Entwicklungsänderungen an der Malware beobachtet, darunter die Hinzufügung neuer Handler, eines neuen Kampagnen-ID-Felds, Codeoptimierung und Umgehungsanpassungen.
Die Bedeutung von WARMCOOKIE wurde im Mai 2025 während der Operation Endgame von Europol deutlich, bei der mehrere bekannte Malware-Familien, darunter WARMCOOKIE, gestört wurden. Trotzdem beobachten wir immer noch, dass die Hintertür aktiv in verschiedenen Malvertising- und Spam-Kampagnen eingesetzt wird.
WARMCOOKIE-Updates
Handler
Bei unserer Analyse der neuen Variante von WARMCOOKIE haben wir vier neue Handler identifiziert, die im Sommer 2024 eingeführt wurden und schnelle Funktionen zum Starten von ausführbaren Dateien, DLLs und Skripten bieten:
- Ausführung der PE-Datei
- DLL-Ausführung
- PowerShell-Skriptausführung
- DLL-Ausführung mit
Start-Export
Die neuesten WARMCOOKIE-Builds, die wir gesammelt haben, enthalten die DLL/EXE-Ausführungsfunktionalität, wobei die PowerShell-Skriptfunktionalität viel weniger verbreitet ist. Diese Funktionen nutzen dieselbe Funktion, indem sie für jeden Dateityp unterschiedliche Argumente übergeben. Der Handler erstellt einen Ordner in einem temporären Verzeichnis und schreibt den Dateiinhalt (EXE / DLL / PS1) in eine temporäre Datei im neu erstellten Ordner. Anschließend führt es die temporäre Datei direkt aus oder verwendet entweder rundll32.exe oder PowerShell.exe. Unten sehen Sie ein Beispiel für die PE-Ausführung von Procmon.
String-Bank
Eine weitere beobachtete Änderung war die Einführung einer Liste legitimer Unternehmen für die Ordnerpfade und geplanten Aufgabennamen für WARMCOOKIE (als „String Bank“ bezeichnet). Dies geschieht, um Abwehrmaßnahmen zu umgehen und der Malware die Verlagerung in legitimer aussehende Verzeichnisse zu ermöglichen . Dieser Ansatz verwendet eine dynamischere Methode (eine Liste von Unternehmen, die als Ordnerpfade verwendet werden und zur Laufzeit der Malware zugewiesen werden), anstatt den Pfad an einem statischen Speicherort festzucodieren, wie wir es bei früheren Varianten (C:\ProgramData\RtlUpd\RtlUpd.dll) beobachtet haben.
Die Malware verwendet GetTickCount als Seed für die Funktion srand , um zufällig eine Zeichenfolge aus der Zeichenfolgenbank auszuwählen.
Nachfolgend sehen Sie ein Beispiel für eine geplante Aufgabe mit Aufgabenname und Ordnerspeicherort:
Durch die Suche nach einigen dieser Namen und Beschreibungen hat unser Team herausgefunden, dass diese Zeichenfolgenbank von einer Website stammt, die zum Bewerten und Auffinden seriöser IT-/Softwareunternehmen verwendet wird.
Kleinere Änderungen
In unserem letzten Artikel übergab WARMCOOKIE einen Befehlszeilenparameter mit /p , um zu bestimmen, ob eine geplante Aufgabe erstellt werden muss. Dieser Parameter wurde in /u geändert. Dies scheint eine kleine, aber zusätzliche Änderung zu sein, um von der vorherigen Berichterstattung abzuweichen.
In dieser neuen Variante bettet WARMCOOKIE jetzt 2 separate GUID-ähnliche Mutexe ein; diese werden in Kombination verwendet, um die Initialisierung und Synchronisierung besser zu steuern. Frühere Versionen verwendeten nur ein Mutex.
Eine weitere spürbare Verbesserung in den neueren Versionen von WARMCOOKE ist die Codeoptimierung. Die unten gezeigte Implementierung ist jetzt übersichtlicher und enthält weniger Inline-Logik, wodurch das Programm hinsichtlich Lesbarkeit, Leistung und Wartbarkeit optimiert ist.
Clustering-Konfigurationen
Seit unserer Erstveröffentlichung im Juli 2024 enthalten WARMCOOKIE-Beispiele ein Kampagnen-ID-Feld. Dieses Feld wird von den Betreibern als Tag oder Markierung verwendet, die den Betreibern Kontext zur Infektion liefert, beispielsweise die Verteilungsmethode. Unten sehen Sie ein Beispiel mit der Kampagnen-ID traffic2.
Basierend auf den extrahierten Konfigurationen der Proben im letzten Jahr gehen wir von der Hypothese aus, dass der eingebettete RC4-Schlüssel verwendet werden kann, um zwischen Betreibern zu unterscheiden, die WARMCOOKIE verwenden. Obwohl dies nicht bewiesen ist, konnten wir anhand verschiedener Beispiele beobachten, dass sich auf der Grundlage der Gruppierung des RC4-Schlüssels einige Muster abzuzeichnen begannen.
Durch die Verwendung des RC4-Schlüssels können wir Überschneidungen in den Kampagnenthemen im Laufe der Zeit erkennen, wie etwa den Build mit dem RC4-Schlüssel 83ddc084e21a244c, der Schlüsselwörter wie bing, bing2, bing3,und aws für die Kampagnenzuordnung nutzt. Ein interessanter Hinweis in Bezug auf diese Build-Artefakte ist, dass einige Builds unterschiedliche Befehlshandler/Funktionen enthalten. Beispielsweise ist der Build mit dem RC4-Schlüssel 83ddc084e21a244c die einzige von uns beobachtete Variante, die über die Möglichkeit zur Ausführung von PowerShell-Skripts verfügt, während die meisten aktuellen Builds die DLL/EXE-Handler enthalten.
Andere Kampagnen-IDs scheinen Begriffe wie lod2lod, capo, oder PrivateDLL zu verwenden. Zum ersten Mal haben wir in WARMCOOKIE anhand einer Stichprobe im Juli 2025 die Verwendung eingebetteter Domänen im Vergleich zu numerischen IP-Adressen gesehen.
WARMCOOKIE-Infrastrukturübersicht
Nach dem Extrahieren der Infrastruktur aus diesen Konfigurationen sticht ein SSL-Zertifikat hervor. Unsere Hypothese ist, dass das unten stehende Zertifikat möglicherweise ein Standardzertifikat ist, das für das WARMCOOKIE-Backend verwendet wird.
Issuer
C=AU, ST=Some-State, O=Internet Widgits Pty Ltd
Not Before
2023-11-25T02:46:19Z
Not After
2024-11-24T02:46:19Z
Fingerprint (SHA1)
e88727d4f95f0a366c2b3b4a742950a14eff04a4
Fingerprint (SHA256)
8c5522c6f2ca22af8db14d404dbf5647a1eba13f2b0f73b0a06d8e304bd89cc0Zertifikatsdetails
Beachten Sie, dass das oben stehende Datum „Nicht nach“ anzeigt, dass dieses Zertifikat abgelaufen ist. Neue (und wiederverwendete) Infrastruktur wird jedoch weiterhin mit diesem abgelaufenen Zertifikat initialisiert. Dabei handelt es sich nicht um eine völlig neue Infrastruktur, sondern eher um eine Neukonfiguration von Umleitungen, um der vorhandenen Infrastruktur neues Leben einzuhauchen. Dies könnte darauf hinweisen, dass die Kampagnenbesitzer nicht daran interessiert sind, dass C2 entdeckt wird.
Fazit
Elastic Security Labs beobachtet weiterhin WARMCOOKIE-Infektionen und die Bereitstellung neuer Infrastruktur für diese Familie. Im letzten Jahr hat der Entwickler kontinuierlich Aktualisierungen und Änderungen vorgenommen, was darauf schließen lässt, dass es das Produkt noch eine ganze Weile geben wird. Aufgrund seiner selektiven Verwendung bleibt es weiterhin unter dem Radar. Wir hoffen, dass Organisationen durch die Weitergabe dieser Informationen besser in der Lage sind, sich vor dieser Bedrohung zu schützen.
Malware und MITRE ATT&CK
Elastic verwendet das MITRE ATT&CK-Framework , um gängige Taktiken, Techniken und Verfahren zu dokumentieren, die von Advanced Persistent Threats gegen Unternehmensnetzwerke eingesetzt werden.
Taktiken
Taktiken stellen das Warum einer Technik oder Untertechnik dar. Es ist das taktische Ziel des Gegners: der Grund für die Ausführung einer Aktion.
Techniken
Techniken stellen dar, wie ein Angreifer ein taktisches Ziel erreicht, indem er eine Aktion ausführt.
- Phishing
- Benutzerausführung: Bösartiger Link
- Befehls- und Skriptinterpreter: PowerShell
- Erkennung von Systeminformationen
- Geplante/r Aufgabe/Auftrag
- Bildschirmaufnahme
- Befehls- und Skriptinterpreter: Windows-Befehlsshell
- Indikatorentfernung: Malware verschieben
Erkennung von Malware
Verhütung
- Verdächtige PowerShell-Downloads
- Erstellung geplanter Aufgaben durch einen ungewöhnlichen Prozess
- Suspicious PowerShell Execution via Windows Scripts (Verdächtige PowerShell-Ausführung über Windows-Skripts)
- RunDLL32 with Unusual Arguments (RunDLL32 mit ungewöhnlichen Argumenten)
- Windows.Trojan.WarmCookie
YARA
Elastic Security hat die folgenden YARA-Regeln erstellt, um diese Aktivität zu identifizieren.
Beobachtungen
Die folgenden Observablen wurden in dieser Studie diskutiert.
| Überwachbar | Typ | Name | Referenz |
|---|---|---|---|
| 87.120.126.32 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| storsvc-win[.]com | Domain | WARMCOOKIE C2 Server | |
| 85.208.84.220 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 109.120.137.42 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 195.82.147.3 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 93.152.230.29 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 155.94.155.155 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 87.120.93.151 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 170.130.165.112 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 192.36.57.164 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 83.172.136.121 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 45.153.126.129 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 170.130.55.107 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 89.46.232.247 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 89.46.232.52 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 185.195.64.68 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 107.189.18.183 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 192.36.57.50 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 62.60.238.115 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 178.209.52.166 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 185.49.69.102 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 185.49.68.139 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 149.248.7.220 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 194.71.107.41 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 149.248.58.85 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 91.222.173.219 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 151.236.26.198 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 91.222.173.91 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 185.161.251.26 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 194.87.45.138 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| 38.180.91.117 | IPv4-ADDR | WARMCOOKIE C2 Server | |
| c7bb97341d2f0b2a8cd327e688acb65eaefc1e01c61faaeba2bc1e4e5f0e6f6e | SHA-256 | WARMCOOKIE | |
| 9d143e0be6e08534bb84f6c478b95be26867bef2985b1fe55f45a378fc3ccf2b | SHA-256 | WARMCOOKIE | |
| f4d2c9470b322af29b9188a3a590cbe85bacb9cc8fcd7c2e94d82271ded3f659 | SHA-256 | WARMCOOKIE | |
| 5bca7f1942e07e8c12ecd9c802ecdb96570dfaaa1f44a6753ebb9ffda0604cb4 | SHA-256 | WARMCOOKIE | |
| b7aec5f73d2a6bbd8cd920edb4760e2edadc98c3a45bf4fa994d47ca9cbd02f6 | SHA-256 | WARMCOOKIE | |
| e0de5a2549749aca818b94472e827e697dac5796f45edd85bc0ff6ef298c5555 | SHA-256 | WARMCOOKIE | |
| 169c30e06f12e33c12dc92b909b7b69ce77bcbfc2aca91c5c096dc0f1938fe76 | SHA-256 | WARMCOOKIE |
Referenzen
In der obigen Studie wurde auf Folgendes Bezug genommen: