Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

Seit der ersten Analyse zur OilRig-Kampagne hat das Forschungszentrum von Palo Alto Networks die Aktivitäten dieser Gruppe weiter beobachtet. In den letzten Wochen haben die Malware-Forscher entdeckt, dass die Gruppe ihre Clayslide-Malware-Dokumente für die Auslieferung aktualisiert und die Helminth-Backdoor gegen Opfer eingesetzt hat. Darüber hinaus hat die Gruppe das Spektrum der ins Visier genommenen Organisationen offensichtlich gezielt erweitert.

Die Gruppe hinter der OilRig-Kampagne nutzt weiterhin Spear-Phishing-E-Mails mit bösartigen Microsoft-Excel-Dokumenten, um die Opfer zu kompromittieren. So wurde beispielsweise eine E-Mail an eine Regierungsbehörde verschickt mit vorgeblichen neuen Portal-Logins für die Website einer Fluggesellschaft. Anfang des Jahres waren mehrere Unternehmen Ziele von Spear-Phishing-Angriffen. In diesen Fällen waren die Dokumente, die den bösartigen Makrocode enthielten, sehr spezifisch angepasst. Teilweise wurden als Absender Partnerfirmen verwendet, die bereits eine Beziehung mit dem jeweiligen Empfänger hatten.

In den letzten Monaten haben die Forscher von Palo Alto Networks eine Reihe von Änderungen an der von den Oilrig-Akteuren verwendeten Malware entdeckt. So wurden vier verschiedene Varianten identifiziert, die bei der Ausführung jeweils unterschiedliche Dateinamen einsetzten. Die Akteure nutzen VBS für die Kommunikation mit Remote-Servern über HTTP. VBS oder VBScript steht für Visual Basic Script und ist eine von Microsoft entwickelte Skriptsprache. Das Skript versucht wiederholt, eine Datei aus dem Remote-Server herunterzuladen, und führt sie dann aus, wenn sie verfügbar ist. Es wird zudem auch ein Powershell-Skript ausgeführt, das mittels der Clayslide-Excel-Dokumente eingeschleust wird. Insgesamt gibt es geringfügige Unterschiede zwischen den beobachteten Malware-Varianten, die bei der OilRig-Kampagne zum Einsatz kommen. Die Hauptunterschiede liegen in den verwendeten Domains und IP-Adressen. Bei der beobachteten Excel-Datei, die die Skriptdatei upd.vbs im System des Opfers hinterlässt, war ein besonders interessantes Merkmal die IP-Adresse, die Verbindungen zur Remexi-Backdoor hat. Dies stimmt mit früheren Anzeichen überein, dass auf Akteure aus dem Iran hindeutet, die hinter diesen Angriffen stecken.

Palo Alto Networks konnte eine Reihe von interessanten Befehlen beobachten, die von den Angreifern stammten, einschließlich Versuchen mit Remote-FTP-Servern zu kommunizieren und verschiedenen Befehlen zum Ausspionieren. Diese Befehle kamen in scheinbar zufälligen Intervallen an, so dass sie wahrscheinlich tatsächlich von den Angreifern ausgeführt werden und nicht von einem automatisierten System.

Die OilRig-Akteure, die sich die Malware-Familien Helminth und Clayslide zunutze machen, wählen als Angriffsziele weiterhin verschiedene hochrangige Unternehmen und Organisationen auf der ganzen Welt. Diese werden mit maßgeschneiderter Malware angegriffen, die aktiv weiterentwickelt, aktualisiert und verbessert wird. Während der Einsatz dieser Malware nicht sehr anspruchsvoll ist, werden Techniken wie DNS Command & Control (C2) verwendet, die es erlauben, in vielen Organisationen und Unternehmen unter dem Radar zu agieren.

www.paloaltonetworks.com

GRID LIST
Tb W190 H80 Crop Int D81c5dfea0aa969e7a2955a328ccb0c7

Victoria Barber wird Director Product Strategy bei Snow Software

Snow Software, Anbieter von Software-Asset-Management (SAM) und…
Tb W190 H80 Crop Int 5453f805ee1dd144bbabd23559d68867

Telekom weitet ihr IoT-Service-Portal auf Brasilien aus

Nach Europa, den USA und China macht die Telekom nun auch das Managen vom Internet der…
Tb W190 H80 Crop Int 8819e621c09c647c68a8b053b3f5db90

Bitkom warnt Obersten Gerichtshof der USA vor Zugriff auf Daten in Europa

Der Oberste Gerichtshof der Vereinigten Staaten steht vor einem wegweisenden Urteil, mit…
Tb W190 H80 Crop Int 43a145c64e12f8f10d9638cec0b8af19

Scopevisio und eurodata bündeln ihre Kräfte

Auf dem Cloud Unternehmertag in Bonn haben die Scopevisio AG, Bonn, und die eurodata AG,…
Tb W190 H80 Crop Int D1e530273d13a7b939633f545b817271

Hyland erweitert sein internationales Führungsteam

Bob Dunn übernimmt die Position des Associate Vice President EMEA & APAC bei Hyland. Der…
Tb W190 H80 Crop Int D33ced82edbd2359aa1922d2f63a6179

TeamViewer veröffentlicht dedizierte IoT-Lösung

TeamViewer hat die Veröffentlichung von TeamViewer IoT angekündigt. Das neue Produkt…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security