Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

DSAG-Jahreskongress
17.09.19 - 19.09.19
In Nürnberg, Messezentrum

Anzeige

Anzeige

Phishing

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘ entdeckt,  der es nun zusätzlich zu den ursprünglichen Zielen im Irak und in Saudi-Arabien 2017 auf Regierungseinrichtungen und andere Organisationen  in Jordanien, der Türkei, Aserbaidschan, Pakistan und Afghanistan  abgesehen hat; zudem gab es Zielobjekte in Österreich.

Die Malware wird über eine hochgradig personalisierte Spear-Phishing-Kampagne verbreitet – über Office-Dokumente und einer Aufforderung an potentielle Opfer,  eingebettete Makros zu aktivieren. Die Angriffe dauern an.


Bei Muddy Water handelt es sich um einen relativ neuen Bedrohungsakteur,  der zum ersten Mal im Jahr 2017 mit einer Kampagne gegen Regierungsziele im Irak und in Saudi-Arabien in Erscheinung trat. Anfang dieses Jahres entdeckten die Experten von Kaspersky Lab Spear-Phishing-E-Mails, die  auf deutlich mehr Länder abzielten als bisher für diesen Bedrohungsakteur bekannt. Die Kampagne erreichte ihren Höhepunkt im Mai  und Juni 2018, ist aber immer noch aktiv.


Der Inhalt der Spear-Phishing-E-Mails deutet darauf hin, dass die Hauptziele Regierungs- und Militäreinheiten, Telekommunikationsunternehmen und Bildungseinrichtungen sind. Die E-Mails haben einen ,MS Office 97-2003‘-Dateianhang. Die Infektion wird  ausgelöst, wenn der Nutzer die Makros in den Dateien aktiviert.


Die Untersuchung von Kaspersky Lab dauert an, vor allem um Informationen  über das Arsenal der Angreifer an PowerShell-, VBS-, VBA-, Python- und  C#-Skripten, Tools und RATs (Remote-Access-Trojanern) zu erhalten.


Gefährliche PowerShell-Payload


Sobald die Infektion aktiviert ist, stellt die Malware Kontakt mit ihrem  Kommandoserver (Command Server) her, indem sie eine zufällige  URL-Adresse aus einer eingebetteten Liste anwählt. Nach dem Überprüfen  möglicher auf dem anvisierten System installierter Sicherheitssoftware legt die Malware eine Reihe von Skripten auf dem betroffenen Computer  ab. Schlussendlich richtet eine PowerShell-Payload die grundlegende  Backdoor- und Zerstörungs-Funktionalität – d.h. die Möglichkeit, Dateien  zu löschen – ein. Die Verwendung legitimer MS-Dateien bedeutet, dass die  Malware die Enttarnung durch eine Blacklist umgehen kann. Darüber hinaus  deaktiviert der PowerShell-Code die Funktionen ,Macro Warnings‘ und  ,Protected View‘, um sicherzustellen, dass zukünftige Angriffe keine  Interaktion durch den Nutzer erfordern. Die Infrastruktur der Malware  umfasst eine Reihe kompromittierter Hosts.


Angriffsziele wurden in der Türkei, Jordanien, Aserbaidschan, Irak und  Saudi-Arabien sowie in Mali, Russland, Iran, Bahrain und in Österreich  entdeckt.


Es ist nicht sicher, wer für die Operation Muddy Water verantwortlich  ist. Allerdings sind die Angriffe eindeutig geopolitisch motiviert - sie  haben sensible Mitarbeiter und Organisationen zum Ziel. Der Code, der  bei den aktuellen Angriffen verwendet wird, beinhaltet eine Reihe von  Funktionen, die Sicherheitsexperten ablenken und irreführen sollen. Dazu  gehört das Einstreuen chinesischer Zeichen in den Code und die  Verwendung von Namen wie ,Leo‘, ,PooPak‘, ,Vendetta‘ und ,Turk‘ in der Malware.


„Während des vergangenen Jahres haben wir beobachtet, wie Muddy Water eine große Anzahl von Angriffen durchgeführt hat und kontinuierlich neue Methoden und Techniken entwickelt. Die Gruppe umfasst aktive Entwickler, die ihr Toolkit ständig verbessern, um die Gefahr einer Enttarnung durch Sicherheitsprodukte und -dienstleistungen zu minimieren“, sagt Amin Hasbini, Sicherheitsforscher bei Kaspersky Lab. „Dies deutete darauf hin, dass es in naher Zukunft mehr solcher Angriffe geben wird. Deshalb haben wir auch die ersten Ergebnisse veröffentlicht, um bei Organisationen das Bewusstsein für diese Bedrohung zu schärfen, damit sie entsprechende Verteidigungsmaßnahmen einleiten können. Wir analysieren das Arsenal der Angreifer weiterhin und beobachten ihre Entwicklung, ihre Strategien und Fehler genau.“


Kaspersky-Sicherheitsempfehlungen


Kaspersky Lab empfiehlt Unternehmen folgende Maßnahmen, um sich besser gegen Operationen wie Muddy Water zu schützen:

  • Die Implementierung eines umfassenden Ansatzes zur Erkennung, Vermeidung und Untersuchung gezielter Angriffe, einschließlich fortschrittlicher Anti-Targeted-Attack-Lösungen und Schulungen.
     
  • Dem Sicherheitsteam Zugang zu aktuellen Bedrohungsdaten und essentiellen Werkzeugen zur gezielten Angriffsvermeidung und -entdeckung ermöglichen, wie zum Beispiel Kompromittierungsindikatoren (Indicators of Compromise, IOC) oder YARA-Regeln.
     
  • Die Etablierung von Patch-Management-Prozessen in der Organisation.
     
  • Die Überprüfung aller Systemkonfigurationen und Implementierung von Best Practices.
     
  • Das Informieren aller Mitarbeiter über die Bedrohungsart, wie sie erkannt werden kann und was zu tun ist, wenn sie eine verdächtige E-Mail erhalten.


Die komplette Analyse über die Operation Muddy Water, inklusive Indikatoren für eine Gefährdung, ist hier verfügbar.
 

www.kaspersky.com/de
 

GRID LIST
Bitcoin Mining

Bitcoin Mining: Der Konkurrenzdruck wird immer höher

All jene, die sich für das Bitcoin Mining interessieren, müssen wissen, dass der…
Risikobewertung

Automatische Entdeckung und Bewertung gefährlicher Assets

Tenable stellt Innovationen für Tenable.sc (vorher SecurityCenter) und Tenable.io vor.…
Cyber Attack

Schutz vor staatlichen Angriffen

Von Regierungen unterstützte Cyber-Spione haben es heute nicht mehr nur auf…
Botnet

Account Takeover Angriffe - Botnets aufspüren

Eine neue, erhaltensbasierte Erkennungssoftware erkennt selbst geringe Abweichungen im…
Hacker Gesundheitswesen

Cyberangriffe auf medizintechnische Geräte - und wie man Sie verhindert

Cyberangriffe treten in vielen unterschiedlichen Formen in Erscheinung. Wenn sie sich…
Hacker Tür

IoT-Drucker sind Einfallstore für Hacker

Immer öfter versuchen Hackergruppen über IoT-Geräte (Internet of Things) auf interne…