Anzeige

Spiegel Polymorph

Der APT-Akteur (Advanced Persistent Threat) ,Cloud Atlas‘, auch bekannt als ,Inception‘, hat sein Angriffsarsenal mit neuen Tools erweitert: mit einer HTML-Anwendung und dem VBShower-Modul, die beide polymorph sind.

Dadurch kann eine Erkennung durch klassische Kompromittierungsindikatoren (Indicators of Compromise, IoC) verhindert werden. Die aktualisierte Infektionskette wurde bisher in verschiedenen Organisationen in Osteuropa, Zentralasien und Russland entdeckt.

Der Cyberspionageakteur Cloud Atlas wurde erstmals im Jahr 2014 identifiziert und hatte unter anderem Unternehmen aus der Industrie sowie Regierungsbehörden im Visier. Nach einer aktuellen Kaspersky-Analyse gehören zu den neuesten Zielen unter anderem die internationale Wirtschafts- und Luftfahrtindustrie sowie Regierungs- und religiöse Organisationen in Portugal, Rumänien, der Türkei, der Ukraine, Russland, Turkmenistan, Afghanistan und Kirgisistan. Bei erfolgreicher Infiltration kann Cloud Atlas:

  • Informationen über das infiltrierte System sammeln,
  • Kennwörter protokollieren und
  • aktuelle .txt-, .pdf- und XLS-DOC-Dateien an einen Befehls- und Steuerungsserver senden.

Während Cloud Atlas seine Taktik seit dem Jahr 2018 nicht allzu sehr verändert hat, zeigen aktuelle Untersuchungen, dass es eine neuartige Methode zur Infektion der Opfer gibt und sich die Cyberkriminellen mittels Lateral Movement durch die Netzwerke bewegen; das heißt, die Angreifer versuchen mittels nicht sensibler Konten Zugriff auf sensible Konten zu bekommen.

Der alte und neue Infektionsweg im Vergleich

Bisher hatte Cloud Atlas zunächst eine Spear-Phishing-E-Mail mit einem schädlichen Anhang an ein Ziel gesendet. Öffnete das Opfer den Anhang, wurde die Malware PowerShower gestartet, die zunächst zum Ausspähen und zum Nachladen weiterer schädlicher Module ausgeführt wurde, um weitere Aktionen der Cyberkriminellen zu ermöglichen.

Die neue Infektionskette verschiebt die Ausführung von PowerShower auf einen späteren Zeitpunkt. Stattdessen wird nach der Erstinfektion eine schädliche HTML-Anwendung heruntergeladen und auf dem Zielcomputer ausgeführt. Diese sammelt erste Informationen über den angegriffenen Computer und lädt VBShower, ein weiteres schädliches Modul, herunter und führt es aus. VBShower löscht dann Hinweise auf das Vorhandensein von Malware im System und konsultiert die Angreifer über Command-and-Control-Server, um über weitere Aktionen zu entscheiden. Je nach Befehl lädt diese Malware entweder PowerShower oder die Backdoor einer anderen bekannten zweiten Stufe von Cloud Atlas herunter und führt sie aus.

Während diese neue Infektionskette viel komplizierter ist als das Vorgängermodell, ist das Hauptunterscheidungsmerkmal, dass die schädliche HTML-Anwendung und das VBShower-Modul polymorph sind: der Code ist in beiden Modulen in jedem Infektionsfall neu und individuell. Laut Kaspersky-Experten soll die Malware so für Sicherheitslösungen unsichtbar gemacht werden, die sich auf bekannte Kompromittieriungsindikatoren (IoC) stützen.

„In der Sicherheitsbranche hat es sich bewährt, die Indicators of Compromise von schädlichen Aktionen, die wir in Forschungen ermitteln, mit anderen zu teilen“, sagt Felix Aime, Sicherheitsforscher im Kaspersky Global Research and Analysis Team (GReAT). „Dies ermöglicht es uns, schnell auf laufende internationale Cyberspionageoperationen zu reagieren und weiteren Schaden zu vermeiden. Wie wir jedoch bereits im Jahr 2016 prognostiziert haben, sind IoC als zuverlässiges Tool zur Erkennung zielgerichteter Angriffe im Netzwerk überholt. ProjectSauron war die erste Operation, bei der für jedes Opfer eine eigene IoC-Gruppe erstellt wurde; zudem wurde der Trend fortgesetzt, Open-Source-Tools für Spionageoperationen anstelle einzigartiger Tools zu verwenden. Dies wird nun mit diesem jüngsten Beispiel für polymorphe Malware fortgesetzt. Das bedeutet nicht, dass es schwieriger wird, Akteure zu fassen zu kriegen, aber dass sich die Sicherheitskompetenzen und das Toolkit zur Verteidigung weiterentwickeln müssen – so wie es die Angreifer eben auch tun.“

Kaspersky-Lösungen- und Empfehlungen gegen APTs

  • Eine Anti-Targeted-Attack-Lösung verwenden, die mit Indicators of Attack (IoA) ausgestattet ist und sich auf die Taktiken, Techniken oder Aktionen konzentriert, die Cyberkriminelle bei der Vorbereitung eines Angriffs möglicherweise ausführen. IoA verfolgen die eingesetzten Techniken, unabhängig davon, welche spezifischen Tools verwendet werden. Die aktuellen Versionen von Kaspersky Endpoint Detection and Response und Kaspersky Anti Targeted Attack enthalten eine neue IoAs-Datenbank, die von Kaspersky-Experten verwaltet und aktualisiert wird.
     
  • Mitarbeiter über digitale Hygiene informieren und sie mit Awareness-Trainings wie Kaspersky Security Awareness darin schulen, wie sie potenziell schädliche E-Mails oder Links erkennen und vermeiden können.
     
  • Eine Endpoint-Lösung mit Antispam- und Antiphishing-Komponenten sowie Funktionen zur Anwendungssteuerung mit einem Standardverweigerungsmodus wie Kaspersky Endpoint Security for Business verwenden, um die Ausführung nicht autorisierter Anwendungen zu blockieren.
     
  • Eine EDR-Lösung wie Kaspersky Endpoint Detection and Response für die Erkennung, Untersuchung und rechtzeitige Behebung von Vorfällen auf Endpunktebene implementieren, um auch unbekannte Malware zu erkennen.
     
  • Eine Sicherheitslösung verwenden, die auch komplexe Bedrohungen im Netzwerk frühzeitig erkennt, wie Kaspersky Anti Targeted Attack Platform.
     
  • Theat Intelligence Services wie Kaspersky Threat Intelligence in SIEM-Dienste und Sicherheitskontrollen integrieren, um auf die relevantesten und aktuellsten Bedrohungsdaten zugreifen zu können.

Weitere Informationen:

Die  vollständige Kaspersky-Analyse zu Cloud Atlas ist hier verfügbar.

www.kaspersky.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

surreal
Jul 31, 2018

Polymorphe Malware – Meister der Tarnung

Viren, Würmer, Bots, Trojaner, Keylogger – viele der gängigen Malware-Formen sind…

Weitere Artikel

Hacker

Cyberkriminelle leiten immer mehr Gehaltszahlungen um

Proofpoint sieht einen dramatischen Anstieg im Bereich des genannten Payroll-Diversion-Betrugs. Allein die bei der US-Bundespolizei gemeldeten Fälle stiegen zwischen Januar 2018 und Juni 2019 um 815 Prozent. Bei dieser Betrugsform handelt es sich um eine Form…
Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!