Aktuelles, Branche - geschrieben von cp am Mittwoch, Juli 29, 2015 11:21 - noch keine Kommentare
Zero-Day-Exploit der Gruppe APT3/UPS
Zusammenhang mit vorhergehenden Zero-Day-Exploits und Pirpi-Trojaner
[datensicherheit.de, 29.07.2015] Unit 42, die Forschungsabteilung von Palo Alto Networks, beobachtet bereits seit längerer Zeit die Aktivitäten der APT3-Gruppe, die auch unter dem Namen UPS bekannt ist. Das Intrusion-Set chinesischer Herkunft ist bekannt dafür, sich frühzeitig Zugang zu Zero-Day-Schwachstellen zu verschaffen. Es liefert an die kompromittierten Ziele einen Backdoor-Trojaner namens Pirpi aus. Die UPS-Gruppe hat bereits mehrere Zero-Day-Schwachstellen ausgenutzt, zuletzt beim Zero-Day-Angriff auf Hacking Team, worüber Unit 42 bereits berichtet hatte. Der jüngste Zero-Day-Exploit dieser Hackergruppe, erfasst als CVE-2015-3113, hat Ähnlichkeiten mit den älteren Zero-Day-Schwachstellen CVE-2014-1776 und CVE-2014-6332, die von der UPS-Gruppe im Mai bzw. November 2014 ausgenutzt worden waren. Die Ähnlichkeiten betreffen speziell die bösartigen Flash-Dateien und die ausgelieferten Nutzlasten.
Die UPS-Gruppe setzt offensichtlich ihre Angriffskampagnen fort, bei denen sie Zero-Day-Schwachstellen ausnutzt. Dies zeigt, dass diese Gruppe auf ziemlich anspruchsvollem Niveau agiert und Zugriff auf wichtige Ressourcen besitzt. Im Rahmen ihrer Angriffskampagnen mit Zero-Day-Exploits hat die UPS-Gruppe konsequent die gleichen Auslieferungstechniken und Programmiercode in verschiedenen Komponenten wiederverwendet. UPS hat dabei auch auf Steganografie zurückgegriffen, um nach der Ausnutzung von Zero-Day-Schwachstellen die ausgelieferten Nutzlasten zu verbergen – durch die Einbettung speziell des Backdoor-Trojaners Pirpi in animierte GIF-Dateien. Die Gruppe verwendet immer wieder auch ihre ActionScript-Teile innerhalb der bösartigen Flash-Dateien, um Sicherheitslücken auszunützen sowie Portionen von Shellcode zu verteilen, der nach der Ausnützung ausgeführt wird.
In Bezug auf die Ähnlichkeiten bei den Nutzlasten liefert UPS Varianten des Pirpi-Backdoor-Trojaners aus, die meist sehr ähnlich zueinander sind. Unit 42 hat bei den analysierten Pirpi-Backdoors herausgefunden, dass diese die gleiche Konfigurationsdatei, einen gemeinsamen C2-Kommunikationskanal und einen ähnlichen Command Handler nutzen. Unternehmen können alle diese Überschneidungen und Gemeinsamkeiten nutzen, sich vor diesem fortschrittlichen Gegner zu schützen. Nutzer von AutoFocus unter den Kunden von Palo Alto Networks können Pirpi-Nutzlasten mit dem Pirpi Tag identifizieren. WildFire klassifiziert automatisch Pirpi Samples als bösartig und Palo Alto Networks hat bereits die IPS-Signatur 14643 veröffentlicht, um Pirpi-C2-Kommunikation zu erkennen.
Weitere Informationen zum Thema:
datensicherheit.de, 10.07.2015
Cybersicherheit: Energieunternehmen sehen sich gut gerüstet
datensicherheit.de, 04.12.2014
Palo Alto Networks: Drei große Trends zur Threat-Prevention im Jahr 2015
Aktuelles, Experten, Studien - Apr 23, 2024 18:57 - noch keine Kommentare
Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt
weitere Beiträge in Experten
- Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
- TÜV-Verband: Digitalministerkonferenz wichtiger, aber überfälliger Schritt zur Koordinierung der Digitalisierungsbestrebungen
Aktuelles, Branche - Apr 24, 2024 20:33 - noch keine Kommentare
DDoS-Attacken: Check Point warnt vor neue Wellen
weitere Beiträge in Branche
- Finanzkriminalität: BioCatch publiziert ersten Bericht über digitalen Betrug mittels KI
- Zscaler-Report 2024: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen
- KEEPER: 5 Sicherheitsmaßnahmen, um Cyber-Bedrohungen während der Urlaubszeit zu minimieren
- StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an
- NIS-2: Die Bedeutung der Richtlinie für die Lieferkette
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren