VERANSTALTUNGEN

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

Automate IT
18.10.18 - 18.10.18
In Frankfurt am Main

Seit der ersten Analyse zur OilRig-Kampagne hat das Forschungszentrum von Palo Alto Networks die Aktivitäten dieser Gruppe weiter beobachtet. In den letzten Wochen haben die Malware-Forscher entdeckt, dass die Gruppe ihre Clayslide-Malware-Dokumente für die Auslieferung aktualisiert und die Helminth-Backdoor gegen Opfer eingesetzt hat. Darüber hinaus hat die Gruppe das Spektrum der ins Visier genommenen Organisationen offensichtlich gezielt erweitert.

Die Gruppe hinter der OilRig-Kampagne nutzt weiterhin Spear-Phishing-E-Mails mit bösartigen Microsoft-Excel-Dokumenten, um die Opfer zu kompromittieren. So wurde beispielsweise eine E-Mail an eine Regierungsbehörde verschickt mit vorgeblichen neuen Portal-Logins für die Website einer Fluggesellschaft. Anfang des Jahres waren mehrere Unternehmen Ziele von Spear-Phishing-Angriffen. In diesen Fällen waren die Dokumente, die den bösartigen Makrocode enthielten, sehr spezifisch angepasst. Teilweise wurden als Absender Partnerfirmen verwendet, die bereits eine Beziehung mit dem jeweiligen Empfänger hatten.

In den letzten Monaten haben die Forscher von Palo Alto Networks eine Reihe von Änderungen an der von den Oilrig-Akteuren verwendeten Malware entdeckt. So wurden vier verschiedene Varianten identifiziert, die bei der Ausführung jeweils unterschiedliche Dateinamen einsetzten. Die Akteure nutzen VBS für die Kommunikation mit Remote-Servern über HTTP. VBS oder VBScript steht für Visual Basic Script und ist eine von Microsoft entwickelte Skriptsprache. Das Skript versucht wiederholt, eine Datei aus dem Remote-Server herunterzuladen, und führt sie dann aus, wenn sie verfügbar ist. Es wird zudem auch ein Powershell-Skript ausgeführt, das mittels der Clayslide-Excel-Dokumente eingeschleust wird. Insgesamt gibt es geringfügige Unterschiede zwischen den beobachteten Malware-Varianten, die bei der OilRig-Kampagne zum Einsatz kommen. Die Hauptunterschiede liegen in den verwendeten Domains und IP-Adressen. Bei der beobachteten Excel-Datei, die die Skriptdatei upd.vbs im System des Opfers hinterlässt, war ein besonders interessantes Merkmal die IP-Adresse, die Verbindungen zur Remexi-Backdoor hat. Dies stimmt mit früheren Anzeichen überein, dass auf Akteure aus dem Iran hindeutet, die hinter diesen Angriffen stecken.

Palo Alto Networks konnte eine Reihe von interessanten Befehlen beobachten, die von den Angreifern stammten, einschließlich Versuchen mit Remote-FTP-Servern zu kommunizieren und verschiedenen Befehlen zum Ausspionieren. Diese Befehle kamen in scheinbar zufälligen Intervallen an, so dass sie wahrscheinlich tatsächlich von den Angreifern ausgeführt werden und nicht von einem automatisierten System.

Die OilRig-Akteure, die sich die Malware-Familien Helminth und Clayslide zunutze machen, wählen als Angriffsziele weiterhin verschiedene hochrangige Unternehmen und Organisationen auf der ganzen Welt. Diese werden mit maßgeschneiderter Malware angegriffen, die aktiv weiterentwickelt, aktualisiert und verbessert wird. Während der Einsatz dieser Malware nicht sehr anspruchsvoll ist, werden Techniken wie DNS Command & Control (C2) verwendet, die es erlauben, in vielen Organisationen und Unternehmen unter dem Radar zu agieren.

www.paloaltonetworks.com

GRID LIST
Olympische Ringe

Cloud-Lösung für die Übertragung der Olympischen Spiele

Alibaba Cloud, die Cloud-Computing-Sparte der Alibaba Group und offizieller Partner der…
HackerOne Team

Cyber-Risiko durch Hacker-Powered Security verringern

HackerOne, weltweiter Anbieter von Hacker-basierten Sicherheitslösungen, wird auf der…
Live

Mit der Fraunhofer Academy IT-Security erleben und erlernen

IT-Sicherheit spielt eine zentrale Rolle für Unternehmen und öffentliche Institute.…
Gestresste Frau

Gravierende Unkenntnis unter Online-Händlern

Langsam wird die Zeit knapp: Ab dem 1. Januar 2019 gilt das neue Verpackungsgesetz. Laut…
Tb W190 H80 Crop Int Ad5c479df16ed903bde0b0fba7aed0f3

Digitalisierung gelingt nur menschlich

Unter dem Motto „Wie Mittelstand und IoT sicher zueinander finden“ feierte jetzt die 1.…
Tb W190 H80 Crop Int 0fe25846dc47a25f1e8decd7071304d9

Schwachstellen schließen mit Unified-Endpoint-Management

Die baramundi software AG wird als Aussteller auf der diesjährigen it-sa 2018 vom 9. -…
Smarte News aus der IT-Welt