Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Hacker

Wie Palo Alto Networks bereits kürzlich über das Cannon-Tool berichtet hatte, hat die Sofacy-Gruppe (auch bekannt als Fancy Bear, APT28, STRONTIUM, Pawn Storm oder Sednit) erneut verschiedene staatliche und private Einrichtungen auf der ganzen Welt hartnäckig angegriffen.

Die Mehrheit der Angriffsziele waren in NATO-orientierten Nationalstaaten, aber auch mehreren GUS-Staaten beheimatet. Bei den Angriffen kamen in erster Linie Varianten des Zebrocy-Tools zum Einsatz, die von Unit 42 zuvor bereits analysiert wurden. Ein kleinerer Teil der zur Malware-Infektion eingesetzten Dokumente enthielt Cannon oder eine Variante von Zebrocy Delphi. Seitdem die Forschungsabteilung von Palo Alto Networks Mitte 2015 damit begonnen hatte, den Einsatz von Zebrocy zu verfolgen, beobachtete sie eine deutlich zunehmende Häufigkeit des Einsatzes dieses Tools. Im Vergleich zu anderen Backdoor-Tools, die mit der Sofacy-Gruppe in Verbindung gebracht werden, ist der Einsatz von Zebrocy in Angriffskampagnen weitaus verbreiteter.

Dear Joohn

Das Aktivitätscluster, das im aktuellen Blog detailliert beschrieben wird, dreht sich hauptsächlich um einen gemeinsamen Autorennamen, der in jedem der Lieferdokumente verwendet wird: Joohn. Die erste interessante Stichprobe war ein Dokument mit dem Dateinamen „crash list(Lion Air Boeing 737).docx“, der das Zebrocy-Tool transportierte. Durch die Nutzung der AutoFocus-Plattform für Bedrohungsanalysen in Verbindung mit den von VirusTotal gesammelten Daten konnten die Forscher aus Artefakten, die in den Metadaten und Verhaltensweisen entdeckt wurden, das Cannon-Tool sowie eine Reihe zusätzlicher Lieferdokumente, Nutzlasten und Ziele ermitteln.

Als Angriffsvektor scheinen die Akteure auf Spear-Phishing zu setzen. Dabei verwenden sie E-Mail-Konten, die bei legitimen E-Mail-Anbietern registriert sind, anstelle von gefälschten E-Mail-Adressen oder zuvor kompromittierten Konten. Die Kontonamen sehen optisch ähnlich aus wie legitime Namen von Regierungsorganisationen oder anderen vertrauenswürdigen Drittanbietern. Die untersuchten Lieferdokumente sind funktional gesehen ähnlich, wobei die Remote-Template-Funktion in Microsoft Word verwendet wurde, um ein bösartiges Makro aus der ersten C2-Stufe abzurufen und schließlich eine initiale Nutzlast zu laden und auszuführen. Die Mehrheit der Lieferdokumente enthält eine generische Ködergrafik, in der das Opfer aufgefordert wird, Makros ohne zusätzlichen Inhalt zu aktivieren. Die Angreifer verlassen sich dabei scheinbar nur auf die Dateinamen, um die Opfer zum Öffnen des bösartigen Dokuments zu verleiten.

Insgesamt haben die Forscher von Unit 42 neun „bewaffnete“ Dokumente abgefangen, was sich zeitlich vom 17. Oktober 2018 bis zum 15. November 2018 erstreckte. Alle wiesen den gleichen Autorennamen auf und lieferten Varianten von Zebrocy oder Cannon aus. Der Zielradius des Datensatzes erstreckt sich über vier Kontinente und reicht von Regierungsstellen auf Bundesebene bis hin zu lokalen Behörden. Unit 42 hat auch eine Timeline-Analyse unter Verwendung der gesammelten Daten durchgeführt. Dies ermöglichte es, herauszufinden, wie die Sofacy-Gruppe ihre Angriffe in der Kampagne „Dear Joohn“ durchführte und auch, wie sie ihre Angriffe mittels automatisierter Tools erstellt haben könnte.

Die Sofacy-Gruppe setzt somit ihre Angriffe auf Organisationen auf der ganzen Welt mit ähnlichen Taktiken und Techniken fort. Die Gruppe zeigt deutlich eine Präferenz für die Verwendung eines einfachen Downloaders wie Zebrocy als First-Stage-Nutzlast bei diesen Angriffen. Sie entwickelt aber weiterhin auch neue Varianten von Zebrocy, zuletzt eine VB.NET- und C#-Version. Zudem scheint es, dass auch verschiedene Varianten des Cannon-Tools in früheren Angriffskampagnen zum Einsatz kamen.

Mehr Details zu aktuellen Erkenntnissen finden Sie hier: https://researchcenter.paloaltonetworks.com/2018/12/dear-joohn-sofacy-groups-global-campaign/
 

GRID LIST
Hacker Bitcoin

Gefälschte Apps für Kryptowährungen in Google Play

Die Kryptowährung Bitcoin hat derzeit ihren höchsten Stand seit September 2018 erreicht.…
Whatsapp Hacker

Woran uns der Whatsapp-Hack erinnert

Nur selten bekommt der gemeine Nutzer oder die Öffentlichkeit mit, wenn ein raffinierter…
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

Phishing-Attacken bei WordPress & eBay

Derzeit finden wieder besonders perfide Phishing-Attacken statt – im Visier von…
WannaCry

Aktuelle Sicherheitslücke bei Microsoft - Ein WannaCry Deja-vu?

Die Sicherheitslücke, die Microsoft am Dienstag bekannt gegeben hat, ist groß.…
Apple-Geräte

Apple-Geräte erlauben Datenklau und stürzen ab

Ein internationales Forscherteam unter Beteiligung der TU Darmstadt hat Sicherheits- und…
Hacker

Plead Malware attackiert Asus Cloud-Speicherdienst

ESET-Forscher haben eine neue Form des Schadprogramms Plead entdeckt. Dieser manipuliert…