Die Malware Muddy Water weitet Angriffe auf Regierungsziele aus

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘ entdeckt,  der es nun zusätzlich zu den ursprünglichen Zielen im Irak und in Saudi-Arabien 2017 auf Regierungseinrichtungen und andere Organisationen  in Jordanien, der Türkei, Aserbaidschan, Pakistan und Afghanistan  abgesehen hat; zudem gab es Zielobjekte in Österreich.

Die Malware wird über eine hochgradig personalisierte Spear-Phishing-Kampagne verbreitet – über Office-Dokumente und einer Aufforderung an potentielle Opfer,  eingebettete Makros zu aktivieren. Die Angriffe dauern an.


Anzeige

Bei Muddy Water handelt es sich um einen relativ neuen Bedrohungsakteur,  der zum ersten Mal im Jahr 2017 mit einer Kampagne gegen Regierungsziele im Irak und in Saudi-Arabien in Erscheinung trat. Anfang dieses Jahres entdeckten die Experten von Kaspersky Lab Spear-Phishing-E-Mails, die  auf deutlich mehr Länder abzielten als bisher für diesen Bedrohungsakteur bekannt. Die Kampagne erreichte ihren Höhepunkt im Mai  und Juni 2018, ist aber immer noch aktiv.


Der Inhalt der Spear-Phishing-E-Mails deutet darauf hin, dass die Hauptziele Regierungs- und Militäreinheiten, Telekommunikationsunternehmen und Bildungseinrichtungen sind. Die E-Mails haben einen ,MS Office 97-2003‘-Dateianhang. Die Infektion wird  ausgelöst, wenn der Nutzer die Makros in den Dateien aktiviert.


Die Untersuchung von Kaspersky Lab dauert an, vor allem um Informationen  über das Arsenal der Angreifer an PowerShell-, VBS-, VBA-, Python- und  C#-Skripten, Tools und RATs (Remote-Access-Trojanern) zu erhalten.


Gefährliche PowerShell-Payload


Sobald die Infektion aktiviert ist, stellt die Malware Kontakt mit ihrem  Kommandoserver (Command Server) her, indem sie eine zufällige  URL-Adresse aus einer eingebetteten Liste anwählt. Nach dem Überprüfen  möglicher auf dem anvisierten System installierter Sicherheitssoftware legt die Malware eine Reihe von Skripten auf dem betroffenen Computer  ab. Schlussendlich richtet eine PowerShell-Payload die grundlegende  Backdoor- und Zerstörungs-Funktionalität – d.h. die Möglichkeit, Dateien  zu löschen – ein. Die Verwendung legitimer MS-Dateien bedeutet, dass die  Malware die Enttarnung durch eine Blacklist umgehen kann. Darüber hinaus  deaktiviert der PowerShell-Code die Funktionen ,Macro Warnings‘ und  ,Protected View‘, um sicherzustellen, dass zukünftige Angriffe keine  Interaktion durch den Nutzer erfordern. Die Infrastruktur der Malware  umfasst eine Reihe kompromittierter Hosts.


Angriffsziele wurden in der Türkei, Jordanien, Aserbaidschan, Irak und  Saudi-Arabien sowie in Mali, Russland, Iran, Bahrain und in Österreich  entdeckt.


Es ist nicht sicher, wer für die Operation Muddy Water verantwortlich  ist. Allerdings sind die Angriffe eindeutig geopolitisch motiviert – sie  haben sensible Mitarbeiter und Organisationen zum Ziel. Der Code, der  bei den aktuellen Angriffen verwendet wird, beinhaltet eine Reihe von  Funktionen, die Sicherheitsexperten ablenken und irreführen sollen. Dazu  gehört das Einstreuen chinesischer Zeichen in den Code und die  Verwendung von Namen wie ,Leo‘, ,PooPak‘, ,Vendetta‘ und ,Turk‘ in der Malware.


„Während des vergangenen Jahres haben wir beobachtet, wie Muddy Water eine große Anzahl von Angriffen durchgeführt hat und kontinuierlich neue Methoden und Techniken entwickelt. Die Gruppe umfasst aktive Entwickler, die ihr Toolkit ständig verbessern, um die Gefahr einer Enttarnung durch Sicherheitsprodukte und -dienstleistungen zu minimieren“, sagt Amin Hasbini, Sicherheitsforscher bei Kaspersky Lab. „Dies deutete darauf hin, dass es in naher Zukunft mehr solcher Angriffe geben wird. Deshalb haben wir auch die ersten Ergebnisse veröffentlicht, um bei Organisationen das Bewusstsein für diese Bedrohung zu schärfen, damit sie entsprechende Verteidigungsmaßnahmen einleiten können. Wir analysieren das Arsenal der Angreifer weiterhin und beobachten ihre Entwicklung, ihre Strategien und Fehler genau.“


Kaspersky-Sicherheitsempfehlungen


Kaspersky Lab empfiehlt Unternehmen folgende Maßnahmen, um sich besser gegen Operationen wie Muddy Water zu schützen:

  • Die Implementierung eines umfassenden Ansatzes zur Erkennung, Vermeidung und Untersuchung gezielter Angriffe, einschließlich fortschrittlicher Anti-Targeted-Attack-Lösungen und Schulungen.
     
  • Dem Sicherheitsteam Zugang zu aktuellen Bedrohungsdaten und essentiellen Werkzeugen zur gezielten Angriffsvermeidung und -entdeckung ermöglichen, wie zum Beispiel Kompromittierungsindikatoren (Indicators of Compromise, IOC) oder YARA-Regeln.
     
  • Die Etablierung von Patch-Management-Prozessen in der Organisation.
     
  • Die Überprüfung aller Systemkonfigurationen und Implementierung von Best Practices.
     
  • Das Informieren aller Mitarbeiter über die Bedrohungsart, wie sie erkannt werden kann und was zu tun ist, wenn sie eine verdächtige E-Mail erhalten.


Die komplette Analyse über die Operation Muddy Water, inklusive Indikatoren für eine Gefährdung, ist hier verfügbar.
 

www.kaspersky.com/de
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.