VERANSTALTUNGEN

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

Automate IT
18.10.18 - 18.10.18
In Frankfurt am Main

ELO Solution Day - Stuttgart
18.10.18 - 18.10.18
In Kornwestheim (bei Stuttgart)

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

Phishing

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘ entdeckt,  der es nun zusätzlich zu den ursprünglichen Zielen im Irak und in Saudi-Arabien 2017 auf Regierungseinrichtungen und andere Organisationen  in Jordanien, der Türkei, Aserbaidschan, Pakistan und Afghanistan  abgesehen hat; zudem gab es Zielobjekte in Österreich.

Die Malware wird über eine hochgradig personalisierte Spear-Phishing-Kampagne verbreitet – über Office-Dokumente und einer Aufforderung an potentielle Opfer,  eingebettete Makros zu aktivieren. Die Angriffe dauern an.


Bei Muddy Water handelt es sich um einen relativ neuen Bedrohungsakteur,  der zum ersten Mal im Jahr 2017 mit einer Kampagne gegen Regierungsziele im Irak und in Saudi-Arabien in Erscheinung trat. Anfang dieses Jahres entdeckten die Experten von Kaspersky Lab Spear-Phishing-E-Mails, die  auf deutlich mehr Länder abzielten als bisher für diesen Bedrohungsakteur bekannt. Die Kampagne erreichte ihren Höhepunkt im Mai  und Juni 2018, ist aber immer noch aktiv.


Der Inhalt der Spear-Phishing-E-Mails deutet darauf hin, dass die Hauptziele Regierungs- und Militäreinheiten, Telekommunikationsunternehmen und Bildungseinrichtungen sind. Die E-Mails haben einen ,MS Office 97-2003‘-Dateianhang. Die Infektion wird  ausgelöst, wenn der Nutzer die Makros in den Dateien aktiviert.


Die Untersuchung von Kaspersky Lab dauert an, vor allem um Informationen  über das Arsenal der Angreifer an PowerShell-, VBS-, VBA-, Python- und  C#-Skripten, Tools und RATs (Remote-Access-Trojanern) zu erhalten.


Gefährliche PowerShell-Payload


Sobald die Infektion aktiviert ist, stellt die Malware Kontakt mit ihrem  Kommandoserver (Command Server) her, indem sie eine zufällige  URL-Adresse aus einer eingebetteten Liste anwählt. Nach dem Überprüfen  möglicher auf dem anvisierten System installierter Sicherheitssoftware legt die Malware eine Reihe von Skripten auf dem betroffenen Computer  ab. Schlussendlich richtet eine PowerShell-Payload die grundlegende  Backdoor- und Zerstörungs-Funktionalität – d.h. die Möglichkeit, Dateien  zu löschen – ein. Die Verwendung legitimer MS-Dateien bedeutet, dass die  Malware die Enttarnung durch eine Blacklist umgehen kann. Darüber hinaus  deaktiviert der PowerShell-Code die Funktionen ,Macro Warnings‘ und  ,Protected View‘, um sicherzustellen, dass zukünftige Angriffe keine  Interaktion durch den Nutzer erfordern. Die Infrastruktur der Malware  umfasst eine Reihe kompromittierter Hosts.


Angriffsziele wurden in der Türkei, Jordanien, Aserbaidschan, Irak und  Saudi-Arabien sowie in Mali, Russland, Iran, Bahrain und in Österreich  entdeckt.


Es ist nicht sicher, wer für die Operation Muddy Water verantwortlich  ist. Allerdings sind die Angriffe eindeutig geopolitisch motiviert - sie  haben sensible Mitarbeiter und Organisationen zum Ziel. Der Code, der  bei den aktuellen Angriffen verwendet wird, beinhaltet eine Reihe von  Funktionen, die Sicherheitsexperten ablenken und irreführen sollen. Dazu  gehört das Einstreuen chinesischer Zeichen in den Code und die  Verwendung von Namen wie ,Leo‘, ,PooPak‘, ,Vendetta‘ und ,Turk‘ in der Malware.


„Während des vergangenen Jahres haben wir beobachtet, wie Muddy Water eine große Anzahl von Angriffen durchgeführt hat und kontinuierlich neue Methoden und Techniken entwickelt. Die Gruppe umfasst aktive Entwickler, die ihr Toolkit ständig verbessern, um die Gefahr einer Enttarnung durch Sicherheitsprodukte und -dienstleistungen zu minimieren“, sagt Amin Hasbini, Sicherheitsforscher bei Kaspersky Lab. „Dies deutete darauf hin, dass es in naher Zukunft mehr solcher Angriffe geben wird. Deshalb haben wir auch die ersten Ergebnisse veröffentlicht, um bei Organisationen das Bewusstsein für diese Bedrohung zu schärfen, damit sie entsprechende Verteidigungsmaßnahmen einleiten können. Wir analysieren das Arsenal der Angreifer weiterhin und beobachten ihre Entwicklung, ihre Strategien und Fehler genau.“


Kaspersky-Sicherheitsempfehlungen


Kaspersky Lab empfiehlt Unternehmen folgende Maßnahmen, um sich besser gegen Operationen wie Muddy Water zu schützen:

  • Die Implementierung eines umfassenden Ansatzes zur Erkennung, Vermeidung und Untersuchung gezielter Angriffe, einschließlich fortschrittlicher Anti-Targeted-Attack-Lösungen und Schulungen.
     
  • Dem Sicherheitsteam Zugang zu aktuellen Bedrohungsdaten und essentiellen Werkzeugen zur gezielten Angriffsvermeidung und -entdeckung ermöglichen, wie zum Beispiel Kompromittierungsindikatoren (Indicators of Compromise, IOC) oder YARA-Regeln.
     
  • Die Etablierung von Patch-Management-Prozessen in der Organisation.
     
  • Die Überprüfung aller Systemkonfigurationen und Implementierung von Best Practices.
     
  • Das Informieren aller Mitarbeiter über die Bedrohungsart, wie sie erkannt werden kann und was zu tun ist, wenn sie eine verdächtige E-Mail erhalten.


Die komplette Analyse über die Operation Muddy Water, inklusive Indikatoren für eine Gefährdung, ist hier verfügbar.
 

www.kaspersky.com/de
 

GRID LIST
Tb W190 H80 Crop Int 3291093b7e9d4bb8f9855b6052833cf6

Banking-Trojaner und gefälschte Wettanbieter-Apps

Der September 2018 stand ganz im Zeichen eines Banking-Trojaners, welcher es auf die…
Tb W190 H80 Crop Int 66a298aa494de1bd9d09e2e746d170e8

Tipps für IT-Sicherheit im Büro

Knapp 90 Prozent der Bevölkerung sind laut ARD/ZDF-Onlinestudie inzwischen online, auch…
Tb W190 H80 Crop Int F91e3a4d242630c208b60fee05b31566

Attacke mit 1,7 Tb/s – DDoS-Schutzsysteme nicht gewachsen

Das maximale Angriffsvolumen von DDoS-Angriffen ist in stetigem Wachstum. Noch vor…
Cyber Security Concept

Cybersicherheit entwickelt sich zum Wettrennen

Palo Alto Networks berichtet über die Entdeckung der neuen Malware xBash berichtet, die…
Facebook

IT-Sicherheit braucht neue Konzepte

Am 28. September wurde bekannt, dass circa 50 Millionen Facebook-Nutzer bzw. -Konten von…
macOS Mojave

Datenschutzlücke in macOS Mojave gefunden

macOS Mojave wurde am Montag, den 24. September unter dem Versprechen auf einen erhöhten…
Smarte News aus der IT-Welt