Anzeige

Anzeige

VERANSTALTUNGEN

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

Blockchain Summit
26.03.19 - 26.03.19
In Frankfurt, Kap Europa

ELO Solution Day München
27.03.19 - 27.03.19
In Messe München

Hannover Messe 2019
01.04.19 - 05.04.19
In Hannover

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Hacker

Wie Palo Alto Networks bereits kürzlich über das Cannon-Tool berichtet hatte, hat die Sofacy-Gruppe (auch bekannt als Fancy Bear, APT28, STRONTIUM, Pawn Storm oder Sednit) erneut verschiedene staatliche und private Einrichtungen auf der ganzen Welt hartnäckig angegriffen.

Die Mehrheit der Angriffsziele waren in NATO-orientierten Nationalstaaten, aber auch mehreren GUS-Staaten beheimatet. Bei den Angriffen kamen in erster Linie Varianten des Zebrocy-Tools zum Einsatz, die von Unit 42 zuvor bereits analysiert wurden. Ein kleinerer Teil der zur Malware-Infektion eingesetzten Dokumente enthielt Cannon oder eine Variante von Zebrocy Delphi. Seitdem die Forschungsabteilung von Palo Alto Networks Mitte 2015 damit begonnen hatte, den Einsatz von Zebrocy zu verfolgen, beobachtete sie eine deutlich zunehmende Häufigkeit des Einsatzes dieses Tools. Im Vergleich zu anderen Backdoor-Tools, die mit der Sofacy-Gruppe in Verbindung gebracht werden, ist der Einsatz von Zebrocy in Angriffskampagnen weitaus verbreiteter.

Dear Joohn

Das Aktivitätscluster, das im aktuellen Blog detailliert beschrieben wird, dreht sich hauptsächlich um einen gemeinsamen Autorennamen, der in jedem der Lieferdokumente verwendet wird: Joohn. Die erste interessante Stichprobe war ein Dokument mit dem Dateinamen „crash list(Lion Air Boeing 737).docx“, der das Zebrocy-Tool transportierte. Durch die Nutzung der AutoFocus-Plattform für Bedrohungsanalysen in Verbindung mit den von VirusTotal gesammelten Daten konnten die Forscher aus Artefakten, die in den Metadaten und Verhaltensweisen entdeckt wurden, das Cannon-Tool sowie eine Reihe zusätzlicher Lieferdokumente, Nutzlasten und Ziele ermitteln.

Als Angriffsvektor scheinen die Akteure auf Spear-Phishing zu setzen. Dabei verwenden sie E-Mail-Konten, die bei legitimen E-Mail-Anbietern registriert sind, anstelle von gefälschten E-Mail-Adressen oder zuvor kompromittierten Konten. Die Kontonamen sehen optisch ähnlich aus wie legitime Namen von Regierungsorganisationen oder anderen vertrauenswürdigen Drittanbietern. Die untersuchten Lieferdokumente sind funktional gesehen ähnlich, wobei die Remote-Template-Funktion in Microsoft Word verwendet wurde, um ein bösartiges Makro aus der ersten C2-Stufe abzurufen und schließlich eine initiale Nutzlast zu laden und auszuführen. Die Mehrheit der Lieferdokumente enthält eine generische Ködergrafik, in der das Opfer aufgefordert wird, Makros ohne zusätzlichen Inhalt zu aktivieren. Die Angreifer verlassen sich dabei scheinbar nur auf die Dateinamen, um die Opfer zum Öffnen des bösartigen Dokuments zu verleiten.

Insgesamt haben die Forscher von Unit 42 neun „bewaffnete“ Dokumente abgefangen, was sich zeitlich vom 17. Oktober 2018 bis zum 15. November 2018 erstreckte. Alle wiesen den gleichen Autorennamen auf und lieferten Varianten von Zebrocy oder Cannon aus. Der Zielradius des Datensatzes erstreckt sich über vier Kontinente und reicht von Regierungsstellen auf Bundesebene bis hin zu lokalen Behörden. Unit 42 hat auch eine Timeline-Analyse unter Verwendung der gesammelten Daten durchgeführt. Dies ermöglichte es, herauszufinden, wie die Sofacy-Gruppe ihre Angriffe in der Kampagne „Dear Joohn“ durchführte und auch, wie sie ihre Angriffe mittels automatisierter Tools erstellt haben könnte.

Die Sofacy-Gruppe setzt somit ihre Angriffe auf Organisationen auf der ganzen Welt mit ähnlichen Taktiken und Techniken fort. Die Gruppe zeigt deutlich eine Präferenz für die Verwendung eines einfachen Downloaders wie Zebrocy als First-Stage-Nutzlast bei diesen Angriffen. Sie entwickelt aber weiterhin auch neue Varianten von Zebrocy, zuletzt eine VB.NET- und C#-Version. Zudem scheint es, dass auch verschiedene Varianten des Cannon-Tools in früheren Angriffskampagnen zum Einsatz kamen.

Mehr Details zu aktuellen Erkenntnissen finden Sie hier: https://researchcenter.paloaltonetworks.com/2018/12/dear-joohn-sofacy-groups-global-campaign/
 

GRID LIST
Bank

IT-Security: Sichere Kommunikation mit der Bank

Die IT-Sicherheit von Banken lässt häufig zu wünschen übrig, schlägt…
Trojaner

Trojaner Emotet gefährlicher denn je

Die Gefahr, die von dem Trojaner Emotet ausgeht, ist noch nicht vorüber. Ganz im…
Tb W190 H80 Crop Int 435a88a9a5029a89779cc54837f4d636

Neue Adware-Kampagne: 150 Millionen Nutzer von ‚SimBad‘ betroffen

Die Sicherheitsforscher von Check Point Software Technologies Ltd. (NASDAQ: CHKP) haben…
Schwachstelle

Microsoft-Office-Schwachstelle ist Einfallstor für Cyber-Angriffe

Spätestens mit der Einführung der DSGVO hat in Europa eine gewisse Sensibilisierung…
Putzfrau

Zeit für den Frühjahrsputz in den digitalen vier Wänden

Wenn der warme Frühling kommt, nutzen viele Menschen die Zeit zum Großreinemachen. So ein…
Richterhammer

Cybersecurity Act - Auf dem Weg zu höherer Cybersicherheit

Gestern stimmte das Europäische Parlament über den "Rechtsakt zur Cybersicherheit", den…