Anzeige

Haie und Boot

Kaspersky-Forscher haben mit ‚Holy Water‘ eine Watering-Hole-Attacke identifiziert, die seit Mai 2019 mehr als zehn Webseiten in Asien, die im Zusammenhang mit Religion, freiwilligen Programmen, Wohltätigkeitsorganisationen und weiteren Bereichen stehen, kompromittiert hat.

‚Holy Water‘ löst selektiv einen Drive-by-Download aus, der eine Backdoor auf dem Gerät des Opfers installiert. Das Toolset der Angreifer umfasste unter anderem eine Verteilung über GitHub und die Verwendung von Open-Source-Code.

Bei einer Watering-Hole-Attacke kompromittieren Cyberkriminelle zielgerichtet vielgenutzte Websites und warten darauf, dass die dort platzierte Malware auf den Computern der Opfer landet. Zur Infektion mit der Malware reicht der einfache Besuch der Website aus. Diese Art von Angriff verbreitet sich dementsprechend leicht und ist damit recht gefährlich.

In der von Kaspersky-Forschern als ,Holy Water‘ bezeichneten Kampagne wurden Watering Holes auf Webseiten eingerichtet, die von Prominenten, öffentlichen Einrichtungen, Wohltätigkeitsorganisationen und weiteren Organisationen unterhalten werden. Beim Besuch einer kompromittierten Webseite lädt eine zuvor infizierte Ressource ein verschleiertes schädliches JavaScript, das Informationen über den Besucher sammelt. Ein externer Server stellt dann fest, ob der Besucher ein potenzielles Ziel ist. Ist dem so, lädt die zweite JavaScript-Phase ein Plugin nach, das wiederum einen Download auslöst und ein gefälschtes Adobe-Flash-Update-Popup einblendet.

Der Besucher wird dann in eine Update-Falle gelockt und lädt ein schädliches Installationspaket herunter, das die Backdoor „Godlike12“ einrichtet. Dadurch erhält der Bedrohungsakteur vollen Remote-Zugriff auf das infizierte Gerät und kann Dateien ändern, Daten sammeln und Aktivitäten des Computers protokollieren. Darüber hinaus wurde eine weitere Backdoor, eine modifizierte Version der Open-Source-Python-Backdoor „Stitch“, für den Angriff verwendet. Diese stellte klassische Backdoor-Funktionen bereit, indem eine direkte Socket-Verbindung zum Austausch von AES-verschlüsselten Daten mit dem Remote-Server herstellt.

Das gefälschte Adobe-Flash-Popup wurde mit einer ausführbaren Datei verknüpft, die auf github.com unter dem Deckmantel einer Flash-Aktualisierungsdatei gehostet wurde. GitHub hat dieses Repository bereits am 14. Februar 2020 deaktiviert, nachdem Kaspersky dieses gemeldet hatte. Die Infektionskette der Kampagne konnte damit unterbrochen werden; das Repository war jedoch mehr als neun Monate online. Aufgrund der Commit-History von GitHub konnten die Forscher jedoch Einblick in die Aktivitäten und Tools des Angreifers gewinnen.

Der mehrstufige Watering-Hole-Angriff wird mit einem nicht komplexen, kosteneffektiven und kreativen Toolset durchgeführt. Innerhalb weniger Monate wurde es mehrmals geändert, um Funktionen wie Google Drive C2 zu nutzen. Kaspersky nimmt daher an, dass es sich hierbei wahrscheinlich um die Arbeit eines kleinen, agilen Teams handelt.

„Watering-Hole-Angriffe sind eine interessante Strategie, mit der ein bestimmter Personenkreis zielgerichtet anvisiert wird“, erklärt Ivan Kwiatkowski, Senior Security Researcher bei Kaspersky. „Wir konnten keine Live-Angriffe beobachten und somit das operative Ziel nicht bestimmen. Diese Kampagne zeigt jedoch wieder einmal, warum die Online-Privatsphäre aktiv geschützt werden muss. Gerade bei verschiedenen sozialen Gruppen und Minderheiten sind die mit einem Angriff verbundenen Datenschutzrisiken besonders hoch, da einige Akteure besonders daran interessiert sind, mehr über solche Gruppen herauszufinden und die Informationen auszunutzen.“

Kaspersky-Tipps zum Schutz vor Watering-Hole-Attacken

  • Wenn möglich, Adobe Flash Player nicht mehr verwenden. Wenn eine Verwendung unabdingbar ist und ein Update gefordert wird, direkt auf der offiziellen Website prüfen, ob ein offizielles Update wirklich vonnöten ist, da das Produkt von den meisten Webseiten nicht mehr genutzt wird. Bei einem Update handelt es sich höchstwahrscheinlich um etwas Schädliches.
  • Einen VPN-Dienst verwenden, um die tatsächliche IP-Adresse und den Standort zu verschleiern. So kann eine Zuordnung zu einer bestimmten Gruppe vermieden werden.
  • Eine umfassende Sicherheitslösung wie Kaspersky Security Cloud verwenden, um sich vor bekannten und unbekannten Bedrohungen zu schützen.
  • Das Security Operations Center (SOC) -Team Zugriff sollte zudem Zugriff auf die neuesten Bedrohungsinformationen haben und sich über neue und aufkommende Tools, Techniken und Taktiken informieren, die von Bedrohungsakteuren und Cyberkriminellen verwendet werden.
  • Eine EDR-Lösung wie Kaspersky Endpoint Detection and Response erkennt, untersucht und beseitigt Vorfälle auf Endpunktebene rechtzeitig.
  • Eine reine Endpoint-Schutzlösung sollte um eine Lösung erweitert werden, die zielgerichtete Attacken auf Netzwerkebene frühzeitig erkennen kann wie Kaspersky Anti Targeted Attack Platform

Weitere Informationen zu Holy Water sind hier verfügbar.

www.kaspersky.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cyberattacke

Weitere Verdopplung der Cyberattacken im dritten Quartal

Im dritten Quartal des Jahres mussten die Cyber-Defense-Spezialisten aus Bochum fast doppelt so viele Cyber-Angriffe wie im zweiten Quartal 2020 abwehren. Mit großen Kampagnen attackieren Angreifer sowohl private Rechner, als auch Firmennetzwerke. Besonders…

Digitale Sicherheit in der Vorweihnachtszeit

Mitte 2020 hat das Cybereason Research Team eine aktive Malware-Kampagne entdeckt, die brasilianische Kunden von MercadoLivre, einem der größten Online-Markplätze Lateinamerikas, ins Visier genommen hat.
Datendiebstahl

86 Prozent der Verbraucher Opfer von Identitätsdiebstahl & Co.

86 Prozent der Verbraucher sind in diesem Jahr Opfer von Identitätsdiebstahl, Kredit-/Debitkartenbetrug oder einer Datenschutzverletzung geworden. Das ergab eine aktuelle Studie von OpSec Security. 2019 lag dieser Anteil noch bei 80 Prozent. Das jährliche…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!