Anzeige

Anzeige

VERANSTALTUNGEN

ELO Solution Day München
27.03.19 - 27.03.19
In Messe München

Hannover Messe 2019
01.04.19 - 05.04.19
In Hannover

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

ACMP Competence Days München
10.04.19 - 10.04.19
In Jochen Schweizer Arena GmbH, Taufkirchen bei München

Mendix World
16.04.19 - 17.04.19
In Rotterdam Ahoy Conference Centre

Anzeige

Anzeige

Seit der ersten Analyse zur OilRig-Kampagne hat das Forschungszentrum von Palo Alto Networks die Aktivitäten dieser Gruppe weiter beobachtet. In den letzten Wochen haben die Malware-Forscher entdeckt, dass die Gruppe ihre Clayslide-Malware-Dokumente für die Auslieferung aktualisiert und die Helminth-Backdoor gegen Opfer eingesetzt hat. Darüber hinaus hat die Gruppe das Spektrum der ins Visier genommenen Organisationen offensichtlich gezielt erweitert.

Die Gruppe hinter der OilRig-Kampagne nutzt weiterhin Spear-Phishing-E-Mails mit bösartigen Microsoft-Excel-Dokumenten, um die Opfer zu kompromittieren. So wurde beispielsweise eine E-Mail an eine Regierungsbehörde verschickt mit vorgeblichen neuen Portal-Logins für die Website einer Fluggesellschaft. Anfang des Jahres waren mehrere Unternehmen Ziele von Spear-Phishing-Angriffen. In diesen Fällen waren die Dokumente, die den bösartigen Makrocode enthielten, sehr spezifisch angepasst. Teilweise wurden als Absender Partnerfirmen verwendet, die bereits eine Beziehung mit dem jeweiligen Empfänger hatten.

In den letzten Monaten haben die Forscher von Palo Alto Networks eine Reihe von Änderungen an der von den Oilrig-Akteuren verwendeten Malware entdeckt. So wurden vier verschiedene Varianten identifiziert, die bei der Ausführung jeweils unterschiedliche Dateinamen einsetzten. Die Akteure nutzen VBS für die Kommunikation mit Remote-Servern über HTTP. VBS oder VBScript steht für Visual Basic Script und ist eine von Microsoft entwickelte Skriptsprache. Das Skript versucht wiederholt, eine Datei aus dem Remote-Server herunterzuladen, und führt sie dann aus, wenn sie verfügbar ist. Es wird zudem auch ein Powershell-Skript ausgeführt, das mittels der Clayslide-Excel-Dokumente eingeschleust wird. Insgesamt gibt es geringfügige Unterschiede zwischen den beobachteten Malware-Varianten, die bei der OilRig-Kampagne zum Einsatz kommen. Die Hauptunterschiede liegen in den verwendeten Domains und IP-Adressen. Bei der beobachteten Excel-Datei, die die Skriptdatei upd.vbs im System des Opfers hinterlässt, war ein besonders interessantes Merkmal die IP-Adresse, die Verbindungen zur Remexi-Backdoor hat. Dies stimmt mit früheren Anzeichen überein, dass auf Akteure aus dem Iran hindeutet, die hinter diesen Angriffen stecken.

Palo Alto Networks konnte eine Reihe von interessanten Befehlen beobachten, die von den Angreifern stammten, einschließlich Versuchen mit Remote-FTP-Servern zu kommunizieren und verschiedenen Befehlen zum Ausspionieren. Diese Befehle kamen in scheinbar zufälligen Intervallen an, so dass sie wahrscheinlich tatsächlich von den Angreifern ausgeführt werden und nicht von einem automatisierten System.

Die OilRig-Akteure, die sich die Malware-Familien Helminth und Clayslide zunutze machen, wählen als Angriffsziele weiterhin verschiedene hochrangige Unternehmen und Organisationen auf der ganzen Welt. Diese werden mit maßgeschneiderter Malware angegriffen, die aktiv weiterentwickelt, aktualisiert und verbessert wird. Während der Einsatz dieser Malware nicht sehr anspruchsvoll ist, werden Techniken wie DNS Command & Control (C2) verwendet, die es erlauben, in vielen Organisationen und Unternehmen unter dem Radar zu agieren.

www.paloaltonetworks.com

GRID LIST
Tb W190 H80 Crop Int F0c5ddde8d4c303bc92e056566938c65

EU-Urheberrecht: Fehlentscheidung belastet digitale Zukunft

Die umstrittenen Artikel 11 und 13 des Leistungsschutzrechts in Europa fanden heute im…
Tb W190 H80 Crop Int 79f22a38b55c41e0e3fe628ea62bfdd2

Nachfolge für KMU am IT-Markt

Der IT-Markt befindet sich in einem extremen Wandel: Es vergeht kaum eine Woche ohne neue…
Security Concept

Security Tests für alle Internet-Komponenten

Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für…
Tb W190 H80 Crop Int 16299bb39740c7905cf12083e25bc2e5

Die Gegenwart von KI und die Zukunft des Berufslebens

Die Hannover Messe 2019 steht ganz im Zeichen von Künstlicher Intelligenz (KI) und…
Tb W190 H80 Crop Int A99828a0e63bcc7148c5106ffed23628

Logicalis präsentiert smarte IoT-Infrastrukturen

Die Logicalis GmbH zeigt auf der Hannover Messe (1.-5. April 2019, Hannover), wie…
Google+

"Wer zu spät kommt...": Google+ steht vor dem Aus

Das Ende einer wenig erfolgreichen Zeit - der Internetriese Google stellt Anfang April…