- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Malware über Spear-Phishing-Dokumente


"Olympic Destroyer" ist zurück und zielt auf europäische Einrichtungen zur chemischen und biologischen Gefahrenabwehr ab
Kaspersky-Analyse: Auch Ziele in Deutschland und der Schweiz im Visier

- Anzeigen -





Die Experten von Kaspersky Lab haben herausgefunden, dass die hinter dem Bedrohungsakteur 'Olympic Destroyer' stehende Hacker-Gruppe noch aktiv ist. Olympic Destroyer wurde im Zusammenhang einer Attacke auf die Eröffnungsfeier der Olympischen Winterspiele in Pyeongchang bekannt. Scheinbar visieren die Angreifer nun Organisationen in Deutschland, Frankreich, der Schweiz, den Niederlanden, der Ukraine und Russland an, die mit dem Schutz vor chemischen und biologischen Bedrohungen zu tun haben.

Bei OIympic Destroyer handelt es sich um einen fortschrittlichen Bedrohungsakteur, der Organisationen, Lieferanten und Partner der Olympischen Winterspiele 2018 in Pyeongchang, Südkorea, mit einer Cybersabotage-Operation auf Basis eines schädlichen Netzwerkwurms getroffen hat. Hinsichtlich des Ursprungs der Attacke deuteten damals viele Hinweise in verschiedene Richtungen, was im Februar 2018 zu einigen Verwirrungen innerhalb der Security-Branche führte.

Einige von Kaspersky Lab entdeckte rare und komplexe Anzeichen deuteten darauf hin, dass die Lazarus-Gruppe, ein mit Nordkorea in Verbindung gebrachter Bedrohungsakteur, hinter der Operation steckt. Im März 2018 bestätigte Kaspersky Lab jedoch, dass die Kampagne eine aufwendige und überzeugende False-Flag-Operation beinhaltete, hinter der höchstwahrscheinlich doch nicht die Lazarus-Gruppe steckte.

Die Experten fanden nun heraus, dass Olympic Destroyer wieder aktiv ist, zum Teil das originale Tool-Set verwendet und es auf Zielobjekte in Europa abgesehen hat.

Spear-Phishing mit Bezug auf Schweizer Konferenz zu biochemischen Bedrohungen
Der Bedrohungsakteur verbreitet die Malware über Spear-Phishing-Dokumente, die den bei der Operation gegen die olympischen Winterspiele als Angriffswaffe verwendeten Dokumenten sehr ähnlich sind. Eines der Dokumente, mit denen potentielle Opfer angelockt werden sollen, nimmt auf die ,Spiez Convergence‘ Bezug. Dabei handelt es sich um eine Konferenz zu biochemischen Bedrohungen, die im Herbst 2018 in der Schweiz stattfindet und vom Labor Spiez veranstaltet wird, einer Organisation, die bei den Untersuchungen zum Salisbury-Fall (Skripal-Fall) eine Schlüsselrolle gespielt hat. Ein weiteres Dokument hatte es auf eine Gesundheits- und Veterinär-Einheit in der Ukraine abgesehen. Einige der von Sicherheitsexperten entdeckten Spear-Phishing-Dokumente enthielten Wörter in Russisch und Deutsch.

Die aus den gefährlichen Dokumenten extrahierte finale Nutzlast (Payload) wurde für den generischen Zugriff auf kompromittierte Computer entwickelt. Für die zweite Stufe des Angriffs wurde das Open-Source-basierte und freie Framework ,Powershell Empire‘ verwendet.

Die Angreifer scheinen kompromittierte legitimen Webserver zu nutzen, auf denen sie die Malware hosten und kontrollieren. Diese Server nutzen das beliebte Open-Source-Content-Management-System (CMS) Joomla. Die Experten fanden heraus, dass es sich bei einem der Server, der die gefährliche Payload hostet, um eine Version von Joomla (v1.7.3) handelt, die im November 2011 veröffentlicht wurde. Das deutet darauf hin, dass die Hacker eine längst veraltete Version des CMS-Systems für das Hacken der Server ausgenutzt haben.

Auf Basis der Telemetrie von Kaspersky Lab sowie Daten, die bei verschiedenen Viren-Scanner-Services hochgeladen wurden, scheint sich die Olympic-Destroyer-Kampagne für Einheiten in Deutschland, Frankreich, der Schweiz, die Niederlande, der Ukraine und Russland zu interessieren.

"Als Anfang des Jahres Olympic Destroyer mit seinen ausgefeilten Täuschungsmanövern auftauchte, wurde offensichtlich, dass sich das Spiel mit der Attribuierung – also der Zuschreibung – von Angriffen für immer verändern wird. Es zeigte sich, wie einfach sich Fehler einschleichen, wenn man nur mit den Fragmenten eines Bildes, die für die Forscher sichtbar sind, arbeitet", sagt Vitaly Kamlyuk, Sicherheitsforscher bei Kaspersky Lab. "Die Analyse und Abschreckung derartiger Bedrohungen sollte auf der Kooperation zwischen dem Privatsektor und den Regierungen sowie über nationale Grenzen hinaus basieren. Wir hoffen, dass mit dem Publizieren unserer Ergebnisse die Sicherheitsbeauftragten und die Sicherheitsforscher zukünftig besser in der Lage sind, einen solchen Angriff in jedem Stadium zu erkennen und zu verhindern."

Bei der vorangegangenen Attacke während der Olympischen Winterspiele begann die Aufklärung einige Monate vor der Epidemie des sich selbst verändernden destruktiven Netzwerkwurms. Es ist sehr gut möglich, dass Olympic Destroyer einen ähnlichen Angriff mit neuer Ausrichtung vorbereitet. Aus diesem Grund rät Kaspersky Lab biologischen und chemischen Bedrohungsforschungseinrichtungen, sich der Gefahr bewusst zu sein und außerplanmäßige Sicherheitsaudits durchzuführen.
(Kaspersky Lab: ra)

eingetragen: 22.06.18
Newsletterlauf: 27.06.18

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Emotet: Allzweckwaffe des Cybercrime

    Die Emotet-Schadsoftware wird derzeit über gefälschte Amazon-Versandbestätigungen verteilt. G Data erklärt, was hinter der Malware steckt und warum sie so gefährlich ist. Emotet ist eine der langlebigsten und professionellsten Cybercrime-Kampagnen der vergangenen Jahre. Erstmals im Jahr 2014 als Banking-Trojaner entdeckt hat die Malware sich über die Jahre zu einer umfassenden Lösung für das Cybercrime entwickelt. Die Schadsoftware nimmt dabei in der Regel nur die Funktion des Türöffners ein, der dann weiteren Schadcode auf dem Rechner installiert. Aktuell wird Emotet über sehr gut gefälschte Amazon-E-Mails verteilt, die Nutzer zum Herunterladen eines Word-Dokuments nötigen wollen. Nach einem Klick auf den angeblichen Tracking-Link öffnet sich das Word-Dokument, das Nutzer auffordert, aktive Inhalte zuzulassen und dann die Infektion des PCs veranlasst.

  • Überwachungs- & Verfolgungsoperationen

    Im Dezember 2018 identifizierte FireEye APT39 als eine iranische Cyber-Spionagegruppe, die mit dem weitreichenden Diebstahl persönlicher Daten in Verbindung steht. Seit November 2014 hat FireEye Aktivitäten im Zusammenhang mit dieser Gruppe verfolgt, um Organisationen vor APT39 zu schützen. Mit ihrem Fokus auf personenbezogenen Daten unterscheidet sich APT39 von anderen iranischen Gruppen, die FireEye beobachtet und die mit Einflussoperationen, Störungsangriffen und anderen Bedrohungen in Verbindung stehen. Mit dem Fokus auf personenbezogene Daten soll APT39 wahrscheinlich Überwachungs- und Verfolgungsoperationen im nationalen Interesse des Irans unterstützen, oder zusätzliche Zugangsmöglichkeiten und -Vektoren für spätere Kampagnen vorbereiten.

  • Zukunft von unentdeckter Malware

    Malwarebytes veröffentlichte die Studie "Unter dem Radar - die Zukunft von unentdeckter Malware" und beleuchtet darin einige der neuesten Bedrohungen in diesem Bereich für Unternehmen: Emotet, TrickBot, Sobretec, SamSam und PowerShell. Widerstandsfähigkeit und Erkennungsvermeidung als neuer Fokus: Die stetige Weiterentwicklung von Cyberkriminalität ist eine Konstante in unserer heutigen digitalen Welt. Fast täglich gibt es Nachrichten von neuen Angriffsmethoden, einer neuen Angriffsstrategie oder einer Taktik, mit der Cyberkriminelle Benutzer infizieren, ihre Lebensgrundlage gefährden und oder ganz allgemein Chaos anrichten. Um ihren Profit zu steigern, wollen Cyberkriminellen Endpunkte zielgerichtet und vollständig besetzen. Sie haben das Ziel, Endpunkte unbemerkt zu infizieren, sowohl in dem Moment der ersten Gefährdung, als auch bei allen weiteren Versuchen, den Endpunkt zu besetzen.

  • Wesentlich effizientere DDoS-Bots

    Das Botnetz Mirai beschränkt sich nicht mehr länger auf ungesicherte IoT-Geräte. Das sind Erkenntnisse von Asert, ein Team aus Sicherheitsspezialisten des Unternehmens Netscout Arbor, ein Anbieter von Business Assurance-, Cybersicherheits- und Business-Intelligence-Lösungen.Kriminelle Betreiber der großen Botnetze haben die Malware von Mirai so angepasst, dass sie nun auch ungepatchte Linux-Server über die Schwachstelle Hadoop Yarn gefährden. Hadoop ist ein Framework von Apache, das Big Data-Anwendungen verarbeitet und speichert, die in geclusterten Systemen ausgeführt werden. Yarn ist für die Zuweisung von Systemressourcen und Planungsaufgaben verantwortlich.

  • Hacker gehen auf Butterfahrt

    GuardiCore hat eine Hacking-Kampagne aufgedeckt, bei der ein Remote-Access-Trojaner (RAT) mit DDoS-Funktion samt Krypto-Miner installiert werden. Die "Butter" genannte Schadsoftware agiert im Hintergrund und wird zur Verwischung ihrer Spuren als Linux-Kernel-Rootkit getarnt. GuardiCore entwickelt IT-Sicherheitstechnologien und erstellt mit einem weltweiten Forscherteam sicherheitsbezogene IT-Analysen, Rechercheberichte und Gegenmaßnahmen für aktuelle Bedrohungen.