OilRig: Hacker nehmen Telkos ins Visier

Warnung vor Hacker-Angriffen mit versteckten Daten und Befehlen in Bilddateien

[datensicherheit.de, 25.07.2020] Die „Unit 42“, das Malware-Forschungsteam von Palo Alto Networks, hat nach eigenen Angaben bei der Analyse eines Angriffs auf einen Telekommunikationsbetreiber eine neue Variante des „RDAT-Tools“ entdeckt, welches der Hacker-Gruppe „OilRig“ zuzuordnen sei. Das jüngste „Tool“ dieser Angreifer nutze einen neuartigen E-Mail-basierten Command-and-Control-Kanal (C2), der sich auf eine als Steganographie bekannte Technik stütze, um Befehle und Daten in Bitmap-Bildern als Anhang von E-Mails zu verstecken.

OilRig-Hacker nutzen RDAT-Backdoor seit mindestens drei Jahren

Diese „RDAT-Backdoor“ werde seit mindestens drei Jahren von der „OilRig“-Bedrohungsgruppe verwendet. In dieser Zeit sei dieses „Tool“ kontinuierlich weiterentwickelt worden, was zu zahlreichen Varianten mit Unterschieden in der Funktionalität und den verfügbaren C2-Kanälen geführt habe. Die Verwendung eines neuartigen C2-Kanals in Kombination mit Steganographie zeige die kontinuierliche Evolution verschiedener Taktiken und Techniken dieses Gegners im Laufe der Zeit.

Greenbug-Hacker griffen Telekommunikationsbetreiber in Südostasien an

Im Mai 2020 habe Symantec eine Forschungsarbeit über Angriffe der „Greenbug“-Gruppe vom April 2020 veröffentlicht, die sich gegen Telekommunikationsbetreiber in Südostasien gerichtet habe. Die Forscher von Palo Alto Networks beobachteten demnach „ähnliche Taktiken und ,Tools‘ im Zusammenhang mit Angriffen auf ein Unternehmen im Nahen Osten im April 2020“. Hierbei seien benutzerdefinierte „Mimikatz-Tools“, „Bitvise“, „PowerShell“-Downloader und eine benutzerdefinierte „Backdoor“, von den Forschern unter dem Namen „RDAT“ verfolgt, zum Einsatz.

Unit 42 sieht Verbindung zwischen Hacker-Gruppen Greenbug und OilRig

Die „Unit 42“ habe zuvor bereits „Greenbug“ mit „OilRig“ in Verbindung gebracht, einer Bedrohungsgruppe, welche das Forschungsteam nach eigenen Angaben 2015 entdeckt hatte. Das „RDAT“-Tool, das bei den Operationen von „OilRig“ eingesetzt worden sei, hätten die Forscher erstmals 2017 beobachtet. Später hätten sie jedoch ein verwandtes „Sample“ gefunden, welches 2018 erstellt worden sei und einen anderen Command-and-Control-Kanal verwendet habe. Bei der Analyse dieses „Samples“ hätten die Forscher einen neuartigen E-Mail-basierten C2-Kanal gefunden, der in Kombination mit Steganographie, einem Teilbereich der Kryptologie, zur Datenexfiltration verwendet worden sei.

Hacker entwickeln RDAT aktiv seit 2017

Seit 2017 werde „RDAT“ von der „Unit 42“ verfolgt, als deren Forscher zum ersten Mal gesehen hätten, „wie dieses ,Tool‘ in eine ,Webshell‘ hochgeladen wurde“. Diese sei mit der „TwoFace-Webshell“ verwandt, welche in dem am 26. September 2017 veröffentlichten „Striking Oil Blog“ diskutiert worden sei. „RDAT“ werde seit 2017 aktiv entwickelt, was zu mehreren Varianten dieses „Tools“ geführt habe, welche für die C2-Kommunikation sowohl auf HTTP- als auch auf DNS-Tunneling beruhten.

Im Juni 2018 griffen Hacker zusätzlich auf Steganographie zurück

Im Juni 2018 hätten die „RDAT“-Entwickler die Möglichkeit hinzugefügt, „Exchange Web Services“ (EWS) zum Senden und Empfangen von E-Mails für die C2-Kommunikation zu nutzen. Dieser E-Mail-basierte C2-Kanal sei in seinem Design neuartig, da er sich auf Steganographie stütze, um Befehle zu verbergen, und Daten innerhalb von BMP-Bildern exfiltriere, welche an die E-Mails angehängt seien. Diese Taktik könne dazu führen, „dass bösartige Aktivitäten viel schwieriger zu erkennen sind und dadurch den Angreifern höhere Chancen auf eine Umgehung der Verteidigungsmaßnahmen verschafft“.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT42 , 22.07.2020
OilRig Targets Middle Eastern Telecommunications Organization and Adds Novel C2 Channel with Steganography to Its Inventory

paloalto NETWORKS, UNIT42 ,26.09.2017
Striking Oil: A Closer Look at Adversary Infrastructure

datensicherheit.de, 18.09.2018
Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019