Anzeige

Laut Palo Alto Networks hat ein Spear-Phising-Angriff mit gestohlenem Account des Außenministeriums stattgefunden..

Das Anti-Malware-Team von Palo Alto Networks, die Abteilung Unit 42, hat eine Spear-Phishing-E -Mail der Sofacy-Gruppe identifiziert, mit der die Regierung der Vereinigten Staaten angegriffen wurde. Die E-Mail wurde von einem potenziell kompromittierten Konto versendet, das dem Außenministerium zugeordnet wurde. Die Sofacy-Gruppe, die auch als APT28 bekannt ist, ist eine bekannte Gruppe Kriminellen, die schon mehrfach durch Kampagnen mit Cyber-Spionage aufgefallen ist. Ziel der Attacke war eine andere Regierungsstelle, die mit der Carberp-Variante des Sofacy-Trojaners angegriffen wurde. Der Kriminellen implementierten einen cleveren Widerstandsmechanismus in den Trojaner, der schon bei früheren Attacken beobachtet wurde, um sich vor der Enttarnung zu schützen.

Die Attacke auf die US-Regierungsstelle begann vor knapp 2 Wochen mit dem Versand einer Spear-Phishing-eMail. Vermeintlicher Absender war ein Account des US-Außenministeriums. Die Analyse des Angriffs ergab eine hohe Wahrscheinlichkeit, dass die E-Mail-Adresse des Absenders nicht gefälscht wurde. Stattdessen wurde wohl ein Host oder ein Account des Ministeriums erfolgreich kompromittiert und missbraucht.

Die gezielte E-Mail hatte den Betreff "FW: Exercise Noble Partner 2016", die ein Verweis auf eine gemeinsame NATO-Übung zwischen den Vereinigten Staaten und Georgien ist.

Eine Besonderheit der Attacke liegt in der Verwendung des Registry Keys: Dieser ist in diesem Fall besonders interessant, weil im Gegensatz zu den traditionellen Methoden hier nicht automatisch die "btecache.dll"-Datei beim Systemstart ausgeführt wird. Stattdessen bewirkt der Registry Key, dass die DLL nur geladen wird, wenn der Benutzer eine beliebige Microsoft Office-Anwendung wie Word oder Excel öffnet.

Dies ist das erste Mal, dass Palo Alto Networks jemals eine kriminelle Gruppe dabei beobachtet hat, dass diese Methode verwendet wird um die Malware vor frühzeitiger Enttarnung zu schützen. Außerdem sorgt die Methode dafür, dass der User eine Aktion ausführen muss bevor die Malware selbst tatsächlich aktiv wird. Dies macht auch die Erkennung durch Sandboxes sehr schwierig. Die Malware ist somit gut gegen konventionelle Entdeckung geschützt.

Die Sofacy-Gruppeliefert mit diesem Angriff, bei dem Spear-Phising und hochentwickelte Trojaner zum Einsatz kommen, ein alarmierendes Beispiel seiner Kampagnen gegen Regierungsorganisationen, insbesondere gegen die US-Regierung. Die Verwendung der neuen Persistenzmethode zeigt die weitere Entwicklung von Taktiken und Cyberbedrohungen.

Weitere, technisch fundierte Details zur jüngsten Attacke finden Sie hier


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cookies

Droht durch das Cookie-Urteil des BGH ein „Digitaler Lockdown“?

Der Bundesgerichtshof (BGH) hat sein Urteil im Fall Bundesverband der Verbraucherzentralen gegen die Planet49 GmbH gesprochen. Demnach reicht eine bereits vorangekreuzte Checkbox nicht aus, um den Anforderungen an eine Einwilligung beim Setzen von Cookies zu…
Corona App

Bundesregierung sieht keine Notwendigkeit für Gesetz zur Corona-App

Die Bundesregierung will die Einführung der geplanten Corona-Warn-App des Bundes nicht durch ein spezielles Gesetz begleiten. Das geht aus einer Antwort auf eine parlamentarische Anfrage der Grünen hervor, über die der Spiegel am Freitag berichtete.
Coronavirus

Spioniert die kommende Corona-Warn-App heimlich Bürger aus?

Besitzer eines Smartphones von Apple oder mit dem Betriebssystem Android bekommen beim Aktualisieren der System-Software Hinweise darauf, dass Apple und Google die Funktion von offiziellen Corona-Warn-Apps möglich machen wollen.
Twitter

Trumps Feldzug gegen Twitter und Co.

Donald Trump sagt Twitter und Co. den Kampf an: Der US-Präsident unterzeichnete am Donnerstag (Ortszeit) eine Verfügung, mit der er soziale Netzwerke stärker reglementieren will.
Hacker

Hacker überfällt 4280 Webseiten aus über 40 Ländern

Das Check Point Research Team hat einen Kriminellen überführt, der nicht für Geld, sondern aus sportlichem Anreiz 5000 Webseiten knacken wollte. Beinahe hätte er es geschafft.
Richterhammer

BGH-Urteil über voreingestellte Cookies

Der Bundesgerichtshof (BGH) hat entschieden, dass Internetnutzer dem Setzen von Cookies künftig häufiger aktiv zustimmen müssen. Eine voreingestellte Zustimmung zum Speichern der Daten auf Smartphones oder anderen Endgeräten ist nach dem Urteil der Richter…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!