Zero-Day-Exploit der Gruppe APT3/UPS

Zusammenhang mit vorhergehenden Zero-Day-Exploits und Pirpi-Trojaner

[datensicherheit.de, 29.07.2015] Unit 42, die Forschungsabteilung von Palo Alto Networks, beobachtet bereits seit längerer Zeit die Aktivitäten der APT3-Gruppe, die auch unter dem Namen UPS bekannt ist. Das Intrusion-Set chinesischer Herkunft ist bekannt dafür, sich frühzeitig Zugang zu Zero-Day-Schwachstellen zu verschaffen. Es liefert an die kompromittierten Ziele einen Backdoor-Trojaner namens Pirpi aus. Die UPS-Gruppe hat bereits mehrere Zero-Day-Schwachstellen ausgenutzt, zuletzt beim Zero-Day-Angriff auf Hacking Team, worüber Unit 42 bereits berichtet hatte. Der jüngste Zero-Day-Exploit dieser Hackergruppe, erfasst als CVE-2015-3113, hat Ähnlichkeiten mit den älteren Zero-Day-Schwachstellen CVE-2014-1776 und CVE-2014-6332, die von der UPS-Gruppe im Mai bzw. November 2014 ausgenutzt worden waren. Die Ähnlichkeiten betreffen speziell die bösartigen Flash-Dateien und die ausgelieferten Nutzlasten.

Die UPS-Gruppe setzt offensichtlich ihre Angriffskampagnen fort, bei denen sie Zero-Day-Schwachstellen ausnutzt. Dies zeigt, dass diese Gruppe auf ziemlich anspruchsvollem Niveau agiert und Zugriff auf wichtige Ressourcen besitzt. Im Rahmen ihrer Angriffskampagnen mit Zero-Day-Exploits hat die UPS-Gruppe konsequent die gleichen Auslieferungstechniken und Programmiercode in verschiedenen Komponenten wiederverwendet. UPS hat dabei auch auf Steganografie zurückgegriffen, um nach der Ausnutzung von Zero-Day-Schwachstellen die ausgelieferten Nutzlasten zu verbergen – durch die Einbettung speziell des Backdoor-Trojaners Pirpi in animierte GIF-Dateien. Die Gruppe verwendet immer wieder auch ihre ActionScript-Teile innerhalb der bösartigen Flash-Dateien, um Sicherheitslücken auszunützen sowie Portionen von Shellcode zu verteilen, der nach der Ausnützung ausgeführt wird.

In Bezug auf die Ähnlichkeiten bei den Nutzlasten liefert UPS Varianten des Pirpi-Backdoor-Trojaners aus, die meist sehr ähnlich zueinander sind. Unit 42 hat bei den analysierten Pirpi-Backdoors herausgefunden, dass diese die gleiche Konfigurationsdatei, einen gemeinsamen C2-Kommunikationskanal und einen ähnlichen Command Handler nutzen. Unternehmen können alle diese Überschneidungen und Gemeinsamkeiten nutzen, sich vor diesem fortschrittlichen Gegner zu schützen. Nutzer von AutoFocus unter den Kunden von Palo Alto Networks können Pirpi-Nutzlasten mit dem Pirpi Tag identifizieren. WildFire klassifiziert automatisch Pirpi Samples als bösartig und Palo Alto Networks hat bereits die IPS-Signatur 14643 veröffentlicht, um Pirpi-C2-Kommunikation zu erkennen.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2015
Cybersicherheit: Energieunternehmen sehen sich gut gerüstet

datensicherheit.de, 04.12.2014
Palo Alto Networks: Drei große Trends zur Threat-Prevention im Jahr 2015