VERANSTALTUNGEN

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

Seit der ersten Analyse zur OilRig-Kampagne hat das Forschungszentrum von Palo Alto Networks die Aktivitäten dieser Gruppe weiter beobachtet. In den letzten Wochen haben die Malware-Forscher entdeckt, dass die Gruppe ihre Clayslide-Malware-Dokumente für die Auslieferung aktualisiert und die Helminth-Backdoor gegen Opfer eingesetzt hat. Darüber hinaus hat die Gruppe das Spektrum der ins Visier genommenen Organisationen offensichtlich gezielt erweitert.

Die Gruppe hinter der OilRig-Kampagne nutzt weiterhin Spear-Phishing-E-Mails mit bösartigen Microsoft-Excel-Dokumenten, um die Opfer zu kompromittieren. So wurde beispielsweise eine E-Mail an eine Regierungsbehörde verschickt mit vorgeblichen neuen Portal-Logins für die Website einer Fluggesellschaft. Anfang des Jahres waren mehrere Unternehmen Ziele von Spear-Phishing-Angriffen. In diesen Fällen waren die Dokumente, die den bösartigen Makrocode enthielten, sehr spezifisch angepasst. Teilweise wurden als Absender Partnerfirmen verwendet, die bereits eine Beziehung mit dem jeweiligen Empfänger hatten.

In den letzten Monaten haben die Forscher von Palo Alto Networks eine Reihe von Änderungen an der von den Oilrig-Akteuren verwendeten Malware entdeckt. So wurden vier verschiedene Varianten identifiziert, die bei der Ausführung jeweils unterschiedliche Dateinamen einsetzten. Die Akteure nutzen VBS für die Kommunikation mit Remote-Servern über HTTP. VBS oder VBScript steht für Visual Basic Script und ist eine von Microsoft entwickelte Skriptsprache. Das Skript versucht wiederholt, eine Datei aus dem Remote-Server herunterzuladen, und führt sie dann aus, wenn sie verfügbar ist. Es wird zudem auch ein Powershell-Skript ausgeführt, das mittels der Clayslide-Excel-Dokumente eingeschleust wird. Insgesamt gibt es geringfügige Unterschiede zwischen den beobachteten Malware-Varianten, die bei der OilRig-Kampagne zum Einsatz kommen. Die Hauptunterschiede liegen in den verwendeten Domains und IP-Adressen. Bei der beobachteten Excel-Datei, die die Skriptdatei upd.vbs im System des Opfers hinterlässt, war ein besonders interessantes Merkmal die IP-Adresse, die Verbindungen zur Remexi-Backdoor hat. Dies stimmt mit früheren Anzeichen überein, dass auf Akteure aus dem Iran hindeutet, die hinter diesen Angriffen stecken.

Palo Alto Networks konnte eine Reihe von interessanten Befehlen beobachten, die von den Angreifern stammten, einschließlich Versuchen mit Remote-FTP-Servern zu kommunizieren und verschiedenen Befehlen zum Ausspionieren. Diese Befehle kamen in scheinbar zufälligen Intervallen an, so dass sie wahrscheinlich tatsächlich von den Angreifern ausgeführt werden und nicht von einem automatisierten System.

Die OilRig-Akteure, die sich die Malware-Familien Helminth und Clayslide zunutze machen, wählen als Angriffsziele weiterhin verschiedene hochrangige Unternehmen und Organisationen auf der ganzen Welt. Diese werden mit maßgeschneiderter Malware angegriffen, die aktiv weiterentwickelt, aktualisiert und verbessert wird. Während der Einsatz dieser Malware nicht sehr anspruchsvoll ist, werden Techniken wie DNS Command & Control (C2) verwendet, die es erlauben, in vielen Organisationen und Unternehmen unter dem Radar zu agieren.

www.paloaltonetworks.com

GRID LIST
Bitcoin

Schweizer BIZ übt massive Kritik an Bitcoin und Co

Bitcoin-Miner verbrauchen etwa so viel Strom wie die ganze Schweiz, während die…
Tb W190 H80 Crop Int 5e8f271ed403f7992181a3d61f2165e9

ForgeRock ernennt Francis Rosch zum neuen CEO

ForgeRock, ernennt Fran (Francis) Rosch zum neuen Chief Executive Officer (CEO). Interim…
Tb W190 H80 Crop Int 0184cdf304156a416edebeeaf54b96f6

Kevin Isaac ist Chief Revenue Officer bei Forcepoint

Forcepoint, Anbieter von Cyber-Security-Lösungen, ernennt Kevin Isaac zum Chief Revenue…
Akquisition

F-Secure übernimmt MWR InfoSecurity

F-Secure erweitert sein Team um hunderte führende Cyber Security-Experten. Mit der…
EU-Flagge Tablet

Bitkom kritisiert Entwurf zur neuen EU-Urheberrechtsrichtlinie

Die EU verhandelt derzeit eine neue Richtlinie zum Urheberrecht. Am 20. Juni 2018 stimmt…
Tb W190 H80 Crop Int 24604ee10746ae6b4b95fec185c1501a

Maßgeschneiderter SAP-Support: Application Management Services

Ein gefestigtes Verständnis über die Vorteile und Chancen einer Auslagerung von…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security