Anzeige

Hacker

Cybereason, Entwickler einer der führenden Cyber-Defense-Plattformen, hat soeben einen neuen Forschungsbericht seiner Nocturnus Research Group unter dem Titel “Dropping Anchor: From a TrickBot Infection to the Discovery of the Anchor Malware” veröffentlicht.

Der Bericht analysiert eine neue Serie von Hacking-Kampagnen, die sich insbesondere gegen Banken- und Finanzdienstleister, Unternehmen aus Fertigung und Produktion sowie Einzelhandelsunternehmen in den Vereinigten Staaten und Europa richten.

Assaf Dahan, Senior DirectorThreat Research bei Cybereason: “Wir haben uns entschlosssen, in diesem Bericht das Augenmerk nicht in erster Linie auf die Urheber der Vorfälle zu richten, sondern auf die den Angriffen zugrunde liegenden Methoden. Diese scheinen mit der primär finanziell motivierten Arbeitsweise der FIN6-Gruppe im Zusammehang zu stehen. Dabei handelt es sich um eine Gruppierung, die dafür bekannt ist, Angriffe gegen POS Systeme zu lancieren und die in der Vergangenheit mit TrickBot-Angriffen in Verbindung gebracht wurde. Die Gefahr von derart verbreiteten Malware-Infektionen besteht darin, dass sie das Potenzial haben, sich zu einem Angriff mit desaströsen Folgen auszuweiten. Das kann ein Ransomware-Angriff sein oder der Diebstahl von sensiblen Finanzdaten.”

In diesem Jahr haben die Sicherheitsanalysten von Cybereason bereits eine schwerwiegende Bedrohung enttarnt, die sich die beiden Trojaner Emotet und TrickBot zunutze gemacht hat, um die unter dem Namen “Ryuk” bekannt gewordene Ransomware zu verbreiten. Die Dropping-Anchor-Kampagne beginnt ebenfalls mit einer TrickBot-Infektion und entwickelt sich dann in der Folge zu einem Hacker-Angriff, der sich insbesondere gegen sensible Daten in Finanzsystemen richtet.

Bisher konzentrierten sich derartige Operationen von Hackern darauf, Ransomware-Infektionen zu verursachen, indem sie wichtige Systeme wie etwa den Domain Controller kompromittierten. Diese neuerlichen Angriffe haben es demgegenüber auf Point-of-Sale (PoS)-Systeme abgesehen. Das Programm verwendet dabei eine erst vor kurzem aufgedeckte Malware-Familie namens Anchor, die sich insbesondere gegen höherwertige Ziele richtet.

Einige der wichtigsten Ergebnisse der “Dropping Anchor Research“ auf einen Blick:

  • Richtet sich gegen POS-Systeme: Die Angriffe richten sich dediziert gegen POS-Systeme mit dem Ziel, sensible Informationen zu stehlen. Dazu werden wichtige Syteme im Netzwerk der Opfer übernommen.
     
  • Richtet Hintertüren in High-Level-Zielen ein: Für bestimmte, besonders hochkarätige Ziele machen die Angreifer punktuell Gebrauch von einer neuen Variante des selten auftretenden Anchor_DNS-Tools. Die Anchor_DNS-Backdoor nutzt das DNS-Protokoll, um unerkannt mit den C2-Servern zu kommunizieren.
     
  • Nutzt eine neue, bis dato nicht dokumentierte Malware: Neben dieser Anchor_DNS-Variante nutzen die Angreifer eine komplett neue und bisher nicht dokumentierte Malware, die man auf den Namen Anchor getauft hat. Anchor wurde erstmals im August 2018 beobachtet, und scheint in enger Verbindung zu Trickbot zu stehen.
     
  • TrickBot-Erweiterungen: Die Attacke ergänzt TrickBot um ein neues, erweitertes Modul, das sich darauf konzentriert Passwörter aus verschiedensten Produkten zu stehlen, daruter auch dem KeePass Password Manager.
     
  • Nutzt bekannte Tools für weitere Erkundungen und die angriffstypischen Seitwärtsbewegungen im Netzwerk: Die Mehrzahl der ursprünglich interaktiven Hacking-Operationen bedient sich bekannter Werkzeuge wie etwa Meterpreter, PowerShell Empire und Cobalt Strike für das weitere Ausspionieren des Netzwerks und die typischen lateralen Bewegungen bei einem Angriff.
     
  • Missbraucht Trust of Certificate Authorities: Etliche der bei diesen Angriffen genutzten schädlichen Payloads bedienen sich signierter Binärdateien. Ein weiterer Beleg für den wachsenden Trend, Zertifikate von legitimen Zertifizierungsstellen zu missbrauchen, um die Bedrohungserkennung auszuhebeln.

www.cybereason.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hackerangriff

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der beliebtesten verwendeten Passwörter in weniger als einer Sekunde geknackt werden.
Windows 7

5,2 Mio. Computer in Deutschland nutzen alte Windows-Versionen

Windows-Betriebssysteme haben in Deutschland bei Desktop-PCs und Notebooks einen Marktanteil von rund 80 Prozent. Die gute Nachricht: Ein Großteil der eingesetzten Geräte nutzt das aktuelle Windows 10. Doch ein genauer Blick auf die Zahlen zeigt eine sehr…
Ransomware

Der Aufstieg der Ryuk Ransomware

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall.
Hackerangriff

Vorsorgepläne als Ziel von Hackern

Da Vorsorgepläne sensible persönliche und finanzielle Daten enthalten, werden Cyberangriffe auf Altersvorsorge-, Renten- und Langzeitvorsorgepläne immer häufiger. Diese Daten zu schützen bedeutet, die Bedrohung zu verstehen und Richtlinien zum Schutz von…
Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!