Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Hacker

Wie Palo Alto Networks bereits kürzlich über das Cannon-Tool berichtet hatte, hat die Sofacy-Gruppe (auch bekannt als Fancy Bear, APT28, STRONTIUM, Pawn Storm oder Sednit) erneut verschiedene staatliche und private Einrichtungen auf der ganzen Welt hartnäckig angegriffen.

Die Mehrheit der Angriffsziele waren in NATO-orientierten Nationalstaaten, aber auch mehreren GUS-Staaten beheimatet. Bei den Angriffen kamen in erster Linie Varianten des Zebrocy-Tools zum Einsatz, die von Unit 42 zuvor bereits analysiert wurden. Ein kleinerer Teil der zur Malware-Infektion eingesetzten Dokumente enthielt Cannon oder eine Variante von Zebrocy Delphi. Seitdem die Forschungsabteilung von Palo Alto Networks Mitte 2015 damit begonnen hatte, den Einsatz von Zebrocy zu verfolgen, beobachtete sie eine deutlich zunehmende Häufigkeit des Einsatzes dieses Tools. Im Vergleich zu anderen Backdoor-Tools, die mit der Sofacy-Gruppe in Verbindung gebracht werden, ist der Einsatz von Zebrocy in Angriffskampagnen weitaus verbreiteter.

Dear Joohn

Das Aktivitätscluster, das im aktuellen Blog detailliert beschrieben wird, dreht sich hauptsächlich um einen gemeinsamen Autorennamen, der in jedem der Lieferdokumente verwendet wird: Joohn. Die erste interessante Stichprobe war ein Dokument mit dem Dateinamen „crash list(Lion Air Boeing 737).docx“, der das Zebrocy-Tool transportierte. Durch die Nutzung der AutoFocus-Plattform für Bedrohungsanalysen in Verbindung mit den von VirusTotal gesammelten Daten konnten die Forscher aus Artefakten, die in den Metadaten und Verhaltensweisen entdeckt wurden, das Cannon-Tool sowie eine Reihe zusätzlicher Lieferdokumente, Nutzlasten und Ziele ermitteln.

Als Angriffsvektor scheinen die Akteure auf Spear-Phishing zu setzen. Dabei verwenden sie E-Mail-Konten, die bei legitimen E-Mail-Anbietern registriert sind, anstelle von gefälschten E-Mail-Adressen oder zuvor kompromittierten Konten. Die Kontonamen sehen optisch ähnlich aus wie legitime Namen von Regierungsorganisationen oder anderen vertrauenswürdigen Drittanbietern. Die untersuchten Lieferdokumente sind funktional gesehen ähnlich, wobei die Remote-Template-Funktion in Microsoft Word verwendet wurde, um ein bösartiges Makro aus der ersten C2-Stufe abzurufen und schließlich eine initiale Nutzlast zu laden und auszuführen. Die Mehrheit der Lieferdokumente enthält eine generische Ködergrafik, in der das Opfer aufgefordert wird, Makros ohne zusätzlichen Inhalt zu aktivieren. Die Angreifer verlassen sich dabei scheinbar nur auf die Dateinamen, um die Opfer zum Öffnen des bösartigen Dokuments zu verleiten.

Insgesamt haben die Forscher von Unit 42 neun „bewaffnete“ Dokumente abgefangen, was sich zeitlich vom 17. Oktober 2018 bis zum 15. November 2018 erstreckte. Alle wiesen den gleichen Autorennamen auf und lieferten Varianten von Zebrocy oder Cannon aus. Der Zielradius des Datensatzes erstreckt sich über vier Kontinente und reicht von Regierungsstellen auf Bundesebene bis hin zu lokalen Behörden. Unit 42 hat auch eine Timeline-Analyse unter Verwendung der gesammelten Daten durchgeführt. Dies ermöglichte es, herauszufinden, wie die Sofacy-Gruppe ihre Angriffe in der Kampagne „Dear Joohn“ durchführte und auch, wie sie ihre Angriffe mittels automatisierter Tools erstellt haben könnte.

Die Sofacy-Gruppe setzt somit ihre Angriffe auf Organisationen auf der ganzen Welt mit ähnlichen Taktiken und Techniken fort. Die Gruppe zeigt deutlich eine Präferenz für die Verwendung eines einfachen Downloaders wie Zebrocy als First-Stage-Nutzlast bei diesen Angriffen. Sie entwickelt aber weiterhin auch neue Varianten von Zebrocy, zuletzt eine VB.NET- und C#-Version. Zudem scheint es, dass auch verschiedene Varianten des Cannon-Tools in früheren Angriffskampagnen zum Einsatz kamen.

Mehr Details zu aktuellen Erkenntnissen finden Sie hier: https://researchcenter.paloaltonetworks.com/2018/12/dear-joohn-sofacy-groups-global-campaign/
 

GRID LIST
Tafel mit Aufschrift Ransomware und Stetoskop

Erneuter Ransomware-Fall in deutschen Krankenhäusern

Nach einem erneuter Ransomware-Fall in deutschen Krankenhäusern bleibt die Gefahrenlage…
Abstrakt - hohe Geschwindigkeit

Cybersicherheit - Schnelligkeit zahlt sich aus

Ransomware hat sich weitestgehend aus den Schlagzeilen verabschiedet, richtet aber…
Hacker Gruppe

Hacker-Gruppe Turla versteckt Malware in Zensur-Umgehungssoftware

Der russischsprachige Bedrohungsakteur ,Turla‘ hat sein Portfolio an Bedrohungswerkzeugen…
Hacker Zug

Visual und Audible Hacking im Zug – eine unterschätzte Gefahr

Was nützt die beste Firewall oder die ausgefeilteste IT-Sicherheitsschulung, wenn…
Tb W190 H80 Crop Int 0f5cc7f2c0b98f58e1eb57da645ab116

Facebook greift Banken mit digitaler Weltwährung an

Ihrer Zeit voraus zu sein und auf der grünen Wiese radikal neue Geschäftsmodelle zu…
Bluekeep

Wird Bluekeep zu WannaCry 2.0?

Vor etwas mehr als einem Monat entdeckte Microsoft die Sicherheitslücke Bluekeep, die die…