Anzeige

Anzeige

VERANSTALTUNGEN

B2B Service Management
22.10.19 - 23.10.19
In Titanic Chaussee Hotel, Berlin

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

DILK 2019
28.10.19 - 30.10.19
In Düsseldorf

Digital X
29.10.19 - 30.10.19
In Köln

DIGITAL FUTUREcongress
05.11.19 - 05.11.19
In Essen, Halle 8 im Congress Center Ost

Anzeige

Anzeige

Hacker

Wie Palo Alto Networks bereits kürzlich über das Cannon-Tool berichtet hatte, hat die Sofacy-Gruppe (auch bekannt als Fancy Bear, APT28, STRONTIUM, Pawn Storm oder Sednit) erneut verschiedene staatliche und private Einrichtungen auf der ganzen Welt hartnäckig angegriffen.

Die Mehrheit der Angriffsziele waren in NATO-orientierten Nationalstaaten, aber auch mehreren GUS-Staaten beheimatet. Bei den Angriffen kamen in erster Linie Varianten des Zebrocy-Tools zum Einsatz, die von Unit 42 zuvor bereits analysiert wurden. Ein kleinerer Teil der zur Malware-Infektion eingesetzten Dokumente enthielt Cannon oder eine Variante von Zebrocy Delphi. Seitdem die Forschungsabteilung von Palo Alto Networks Mitte 2015 damit begonnen hatte, den Einsatz von Zebrocy zu verfolgen, beobachtete sie eine deutlich zunehmende Häufigkeit des Einsatzes dieses Tools. Im Vergleich zu anderen Backdoor-Tools, die mit der Sofacy-Gruppe in Verbindung gebracht werden, ist der Einsatz von Zebrocy in Angriffskampagnen weitaus verbreiteter.

Dear Joohn

Das Aktivitätscluster, das im aktuellen Blog detailliert beschrieben wird, dreht sich hauptsächlich um einen gemeinsamen Autorennamen, der in jedem der Lieferdokumente verwendet wird: Joohn. Die erste interessante Stichprobe war ein Dokument mit dem Dateinamen „crash list(Lion Air Boeing 737).docx“, der das Zebrocy-Tool transportierte. Durch die Nutzung der AutoFocus-Plattform für Bedrohungsanalysen in Verbindung mit den von VirusTotal gesammelten Daten konnten die Forscher aus Artefakten, die in den Metadaten und Verhaltensweisen entdeckt wurden, das Cannon-Tool sowie eine Reihe zusätzlicher Lieferdokumente, Nutzlasten und Ziele ermitteln.

Als Angriffsvektor scheinen die Akteure auf Spear-Phishing zu setzen. Dabei verwenden sie E-Mail-Konten, die bei legitimen E-Mail-Anbietern registriert sind, anstelle von gefälschten E-Mail-Adressen oder zuvor kompromittierten Konten. Die Kontonamen sehen optisch ähnlich aus wie legitime Namen von Regierungsorganisationen oder anderen vertrauenswürdigen Drittanbietern. Die untersuchten Lieferdokumente sind funktional gesehen ähnlich, wobei die Remote-Template-Funktion in Microsoft Word verwendet wurde, um ein bösartiges Makro aus der ersten C2-Stufe abzurufen und schließlich eine initiale Nutzlast zu laden und auszuführen. Die Mehrheit der Lieferdokumente enthält eine generische Ködergrafik, in der das Opfer aufgefordert wird, Makros ohne zusätzlichen Inhalt zu aktivieren. Die Angreifer verlassen sich dabei scheinbar nur auf die Dateinamen, um die Opfer zum Öffnen des bösartigen Dokuments zu verleiten.

Insgesamt haben die Forscher von Unit 42 neun „bewaffnete“ Dokumente abgefangen, was sich zeitlich vom 17. Oktober 2018 bis zum 15. November 2018 erstreckte. Alle wiesen den gleichen Autorennamen auf und lieferten Varianten von Zebrocy oder Cannon aus. Der Zielradius des Datensatzes erstreckt sich über vier Kontinente und reicht von Regierungsstellen auf Bundesebene bis hin zu lokalen Behörden. Unit 42 hat auch eine Timeline-Analyse unter Verwendung der gesammelten Daten durchgeführt. Dies ermöglichte es, herauszufinden, wie die Sofacy-Gruppe ihre Angriffe in der Kampagne „Dear Joohn“ durchführte und auch, wie sie ihre Angriffe mittels automatisierter Tools erstellt haben könnte.

Die Sofacy-Gruppe setzt somit ihre Angriffe auf Organisationen auf der ganzen Welt mit ähnlichen Taktiken und Techniken fort. Die Gruppe zeigt deutlich eine Präferenz für die Verwendung eines einfachen Downloaders wie Zebrocy als First-Stage-Nutzlast bei diesen Angriffen. Sie entwickelt aber weiterhin auch neue Varianten von Zebrocy, zuletzt eine VB.NET- und C#-Version. Zudem scheint es, dass auch verschiedene Varianten des Cannon-Tools in früheren Angriffskampagnen zum Einsatz kamen.

Mehr Details zu aktuellen Erkenntnissen finden Sie hier: https://researchcenter.paloaltonetworks.com/2018/12/dear-joohn-sofacy-groups-global-campaign/
 

GRID LIST
Insider

Drei Tipps zum Schutz vor Insider-Bedrohungen

Die Cybersicherheitslandschaft verändert sich ständig, aber eines ist in den letzten…
Markus Auer

Produktionsausfall bei Porsche: Was tun, wenn es brennt?

Die Vorfälle bei Porsche und bei Pilz sorgen für Schlagzeilen. Der Supergau eines jeden…
Hacker Emails

Erpresserische Sex-E-Mails im Umlauf

Check Point Research, die Threat-Intelligence-Abteilung von Check Point Software…
KI Cybersecurity

Mit Machine Learning die Stecknadel im Heuhaufen finden

Cyber-Angriffe werden immer ausgeklügelter. Um sich vor diesen Attacken zu schützen,…
Zero Day Exploit

Zero-Day-Angriffe: Die bösartigen Unbekannten

Zero-Day-Schwachstellen und entsprechende Exploit-Kits sind äußerst wertvoll auf dem…
Malware

Agent Tesla verbreitet sich wie ein Lauffeuer – Emotet erwacht wieder

Die Threat Intelligence-Abteilung von Check Point Software Technologies Ltd. (NASDAQ:…