SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

EuroCIS 2018
27.02.18 - 01.03.18
In Düsseldorf, Messe Halle 9 und 10

BIG DATA Marketing Day
27.02.18 - 27.02.18
In Wien

AUTOMATE IT 2018
01.03.18 - 01.03.18
In Hamburg, Schwanenwik 38

DIGITAL FUTUREcongress
01.03.18 - 01.03.18
In Frankfurt, Messe

Das Anti-Malware-Forschungsteam Unit 42 von Palo Alto Networks hat neue Angriffsaktivitäten entdeckt, die auf Einzelpersonen abzielen, die mit Lieferanten und Dienstleistern des US-Verteidigungsministeriums in Verbindung stehen.

Durch die Analyse von Code, Köderdateien und der verwendeten Infrastruktur konnte Unit 42 Beziehungen zu früheren ähnlichen Cyberangriffen feststellen. So gilt es als erwiesen, dass die Gruppe hinter der aktuellen Kampagne entweder direkt verantwortlich war auch für die Operation Blockbuster Sequel und Operation Blockbuster oder zumindest mit der Gruppe zusammenarbeitet, die diese Operationen durchgeführt hat. Die Angriffe, die von dieser Bedrohungsgruppe ausgehen, haben seit dem letzten Bericht von Palo Alto Networks (vom April 2017) nicht aufgehört und sich zuletzt bis Juli 2017 fortgesetzt.

Auffällig ist die Wiederverwendung von Tools, Techniken und Prozeduren, die sich bei diesen Operationen mit nur wenig Abweichungen überlappen. So haben die Forscher von Unit 42 in letzter Zeit „bewaffnete“ Microsoft-Office-Dokumentdateien identifiziert, die dieselben böswilligen Makros wie bei den Angriffen von Anfang dieses Jahres verwenden. Was den Inhalt der aktuellen Köderdokumente betrifft, der einem Opfer nach dem Öffnen des manipulierten Dokuments angezeigt wurde, so haben die Angreifer ihre Zielgruppe von koreanisch- auf englischsprachige Zielpersonen verlagert. Die Dokumente enthalten jetzt Stellenbeschreibungen und interne Richtlinien von Unternehmen, die im Dienste des US-Verteidigungsministeriums stehen.

Diese Köderdokumente wurden auf Systemen gehostet, die wahrscheinlich zuvor kompromittiert wurden. Die in den Dokumenten transportierten Code sind den im Bericht vom April 2017 beschriebenen Inhalte sehr ähnlich. Der Quellcode, der in den Makros verwendet wurde, wurde ebenfalls in einem früheren Bericht detailliert beschrieben, basierend auf Testdokumenten, die auf VirusTotal hochgeladen wurden. Die Wiederverwendung betrifft Makro-Quellcodes und XOR-Schlüssel, die innerhalb des Makros dazu dienen, implantierte Codes zu dekodieren. Diese Details und die funktionale Überlappung in den Inhalten deuten hin auf die fortgesetzte Verwendung des gleichen automatisierten Tools zur Erstellung der bewaffneten Dokumente.

Die Techniken und Taktiken, die die Gruppe verwendet, haben sich bei den letzten Angriffen folglich kaum verändert. Trotz ihrer Entdeckung und öffentlichen Exposition haben die Bedrohungsakteure ihre Operationen fortgesetzt. Daher werden sie sich wahrscheinlich auch nicht davon abhalten lassen, weiterhin aktiv zu sein und gezielte Kampagnen zu starten. Palo Alto Networks wird die Überwachung der Aktivitäten dieser Gruppe fortsetzen, um auf dem Laufenden zu bleiben bezüglich weiteren Angriffen mit diesem Tool-Set.

Weitere Details finden Sie hier.
 

GRID LIST
Tb W190 H80 Crop Int A7494390682e2c32932a1e4d7d1c3590

Karsten Kluge ist neuer Vizepräsident des BREKO

Der Bundesverband Breitbandkommunikation (BREKO) hat mit Karsten Kluge einen neuen…
Tb W190 H80 Crop Int 4c3fd43682e627aeae2c57682536f76f

Kälte zerstört Festplatten und Flash-Speicher

Die aktuellen Temperaturschwankungen um den Gefrierpunkt machen nicht nur Menschen zu…
Tb W190 H80 Crop Int 841b95f1487dc88b553766323d14e980

Neuer Regional Director CEEU bei Bitglass

CASB-Anbieter Bitglass hat Michael Scheffler zum Regional Director Central and Eastern…
Tb W190 H80 Crop Int 5ba37fe6a8a44fa22fd2902212c01ee8

Vectra schließt Finanzierungsrunde über 36 Millionen Dollar ab

Vectra hat eine weitere Finanzierungsrunde in Höhe von 36 Millionen US-Dollar…
Spyware

Avast entdeckt „Tempting Cedar Spyware“

Avast warnt vor einem gezielten Angriff über Facebook, bei dem sich Nutzer von…
Tb W190 H80 Crop Int 4619d0df0bd124e76a7cddedeee215c7

Enterprise-Blockchain-Projekte benötigen sichere Umgebung

e-shelter, Rechenzentrumsanbieter in Europa und ein Unternehmen der NTT Communications,…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security