[datensicherheit.de, 18.04.2024] Das „Sysdig Threat Research Team“ (Sysdig TRT) hat nach eigenen Angaben „eine ausgeklügelte und lang andauernde Botnet-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens ,RUBYCARP’ betrieben wird und vermutlich bereits seit mindestens zehn Jahren aktiv ist“. Diese Entdeckung wirft demnach ein Schlaglicht auf eine jahrzehntelange Kampagne, „in der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden“.

RUBYCARP griff monatelang den vom Sysdig TRT geschalteten Honeypot an

Die Aktivitäten von „RUBYCARP“ zielten in erster Linie auf finanziellen Gewinn ab, wobei eine breite Palette von Tools und Techniken eingesetzt werde, um verwundbare Systeme anzugreifen, insbesondere solche, auf denen „Laravel“- und „WordPress“-Anwendungen liefen. Über einen sogenannten Honeypot habe Sysdig das Treiben dieser Hacker-Gruppe ans Licht bringen können:

„Über Monate hinweg griff ,RUBYCARP’ den vom Sysdig TRT geschalteten Honeypot an, indem ,Laravel’-Anwendungen, die für ,CVE-2021-3129‘ anfällig sind, ins Visier genommen und ausgenutzt wurden. Dies führte zu Beweisen für SSH-Brute-Forcing als weitere Methode, mit der sich die Gruppe Zugang zu ihren Zielen verschaffte.“

Die wichtigsten Erkenntnisse laut Sysdig TRT:

Zuordnung
Obwohl es schwierig sei, „RUBYCARP“ eindeutig zuzuordnen, werde davon ausgegangen, dass es sich um eine finanziell motivierte rumänische Bedrohungsgruppe handele, welche möglicherweise Verbindungen zu „APT Outlaw“ habe. Gemeinsame Taktiken und Werkzeuge mehrerer Gruppen von Bedrohungsakteuren erschwerten jedoch die Zuordnung.

Operation
Der Modus Operandi von „RUBYCARP“ umfasse die Bereitstellung von Hintertüren unter Verwendung des „Perl-Shellbots“, die Einrichtung von Befehls- und Kontrollfunktionen über IRC-Server und die Erweiterung des Botnets über verschiedene Kanäle. Die Gruppe beweise ein hohes Maß an Raffinesse, indem sie ihre Angriffstechniken ständig weiterentwickele und ihr Netzwerk verstecke, um einer Entdeckung zu entgehen.

Infrastruktur
Die „RUBYCARP“-Infrastruktur bestehe aus einer beträchtlichen Anzahl bösartiger IPs und Domains, welche regelmäßig ausgetauscht würden, um Ermittlungsbemühungen zu vereiteln. Die Gruppe nutze private und öffentliche IRC-Netzwerke wie „chat.juicessh.pro“ und „sshd.run“ zur Kommunikation und Koordination.

Motivation
„RUBYCARP“ konzentriere sich auf verschiedene illegale Einnahmequellen, darunter sogenanntes Kryptomining, DDoS-Attacken und Phishing. Die Gruppe verwendet selbst erstellte Mining-Pools und Tools zum Schürfen von „Krypto-Währungen“ wie „Monero“, „Ethereum“ und „Ravencoin“. Darüber hinaus gebe es Hinweise auf eine Beteiligung an Phishing-Kampagnen, welche auf finanzielle Vermögenswerte abzielten.

Diese mutmaßlich rumänische Bedrohungsgruppe sei seit fast einem Jahrzehnt aktiv. „Eine Zuordnung ist stets schwierig, aber es handelt sich höchstwahrscheinlich um eine Gruppe, die mit der ,Outlaw APT’-Gruppe und anderen, die den ,Perl Shellbot’ verwenden, in Verbindung gebracht werden kann.“ Diese Bedrohungsakteure seien auch an der Entwicklung und dem Verkauf von Cyber-Waffen beteiligt – „was selten ist“. Sie verfügten über ein großes Arsenal an Werkzeugen, welches sie im Laufe der Jahre entwickelt hätten und das ihnen eine gewisse Flexibilität bei der Durchführung ihrer Operationen verleihe.

Sysdig TRT gibt Sicherheits-Tipps:

Robuste Sicherheitsmaßnahmen
Unternehmen sollten robuste Sicherheitsmaßnahmen ergreifen, einschließlich der rechtzeitigen Behebung von Schwachstellen und starker Authentifizierungsprotokolle, um das Risiko der Ausbeutungsversuche durch „RUBYCARP“ zu mindern.

Verbesserung der Überwachungs- und Erkennungsmechanismen
Verbesserte Überwachungs- und Erkennungsmechanismen seien von entscheidender Bedeutung, um Botnet-Aktivitäten zu identifizieren und zu neutralisieren – „insbesondere solche, an denen ,Perl Shellbot’ und IRC-Kommunikationskanäle beteiligt sind“.

Erhöhte Wachsamkeit gegenüber Phishing
„Wachsamkeit gegenüber Phishing-Versuchen, die auf finanzielle Vermögenswerte abzielen, insbesondere solche, die sich als seriöse Institutionen ausgeben, ist von größter Bedeutung!“ Die Umsetzung von E-Mail-Sicherheitsmaßnahmen und Benutzerschulungsprogrammen könne dieses Risiko mindern.

Weitere Informationen zum Thema:

CVE
CVE-2021-3129

sysdig, Sysdig Threat Research Team, 09.04.2024
RUBYCARP: A Detailed Analysis of a Sophisticated Decade-Old Botnet Group

[datensicherheit.de, 16.11.2022] Der berüchtigte APT-Akteur (Advanced Persistent Threat – fortgeschrittene andauernde Bedrohung) „Lazarus“ weitet laut einer aktuellen Kaspersky-Warnung seine Angriffe aus und hat demnach nun Unternehmen in Europa, darunter in Deutschland und in der Schweiz im Visier: Kaspersky-Experten hätten Angriffe mit der sogenannten DTrack-Backdoor auf zwei deutsche Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifizieren können sowie einen auf ein Schweizer Unternehmen in der chemischen Verarbeitung.

Bereits zwei Angriffe in Deutschland mit DTrack als Backdoor identifiziert

„Lazarus“ sei mindestens seit dem Jahr 2009 aktiv und werde für Angriffe mittels Cyber-Spionage, -sabotage und Ransomware verantwortlich gemacht. „Ursprünglich konzentrierte sich die Gruppe auf die Umsetzung einer scheinbar geopolitischen Agenda, die sich hauptsächlich auf Südkorea konzentrierte. Allerdings ist sie zu globalen Zielen übergegangen und hat begonnen, auch Angriffe zur finanziellen Bereicherung zu starten.“

Derzeit richteten sich die Angriffe auch gegen Unternehmen in Europa. „Dabei konnten die Kaspersky-Experten zwei Angriffe in Deutschland identifizieren, bei denen ,DTrack’ als ,Backdoor’ eingesetzt wurde: einen auf ein Unternehmen in der chemischen Verarbeitung und einen in der Fertigungswirtschaft. Weiterhin konnte ein Angriff auf ein Schweizer Unternehmen in der chemischen Verarbeitung ausgemacht werden.“

Nicht wesentlich veränderte Backdoor DTrack

„DTrack“ sei ursprünglich im Jahr 2019 entdeckt worden und habe sich im Laufe der Zeit nicht wesentlich verändert. Diese „Backdoor“ verstecke sich in einer ausführbaren Datei, „die wie ein legitimes Programm aussieht“. Es gebe mehrere Phasen der Entschlüsselung, bevor die sogenannte Malware-Payload startet. Neu sei eine zusätzliche dritte Verschlüsselungsebene, welche in einigen der neuen Malware-Samples hinzugefügt worden sei.

Kaspersky-Analysen zeigten, „dass ,Lazarus’ diese ,Backdoor’ für eine Vielzahl von Angriffen mit der Zielsetzung finanziellen Gewinns verwendet“. Sie ermögliche es Cyber-Kriminellen, Dateien auf dem Host des Opfers hochzuladen, herunterzuladen, zu starten oder zu löschen. Eine der heruntergeladenen und ausgeführten Dateien – bereits als Teil des üblichen „DTrack-Toolsets“ entdeckt – sei ein Keylogger sowie ein Screenshot-Ersteller und ein Modul zum Sammeln von Systeminformationen des Opfers. Insgesamt könne ein solches „Toolset“ Cyber-Kriminellen dabei helfen, laterale Bewegungen in der Infrastruktur der Opfer durchzuführen, um beispielsweise Informationen abzurufen.

DTrack in Deutschland, Brasilien, Indien, Italien, Mexiko, der Schweiz, Saudi-Arabien, der Türkei und den USA aktiv

„Laut KSN-Telemetrie ist DTrack in Deutschland, Brasilien, Indien, Italien, Mexiko, der Schweiz, Saudi-Arabien, der Türkei und den USA aktiv. ,Lazarus’ weitet damit also seine Viktimologie aus.“ Zu den anvisierten Unternehmen gehörten Teile der Kritischen Infrastrukturen wie Bildungseinrichtungen, Unternehmen in der chemischen Verarbeitung, staatliche Forschungszentren und Ministerien, IT-Dienstleister, Versorgungsunternehmen und Telekommunikation.

„,DTrack’ wird nach wie vor aktiv von ,Lazarus’ genutzt“, berichtet Jornt van der Wiel, Sicherheitsexperte im „Global Research and Analysis Team“ (GReAT) bei Kaspersky. Er führt aus: „Änderungen, die an der Art und Weise vorgenommen wurden, wie die Malware gepackt wird, zeigen, dass ,Lazarus’ ,DTrack’ immer noch einen hohen Stellenwert einräumt. Trotzdem hat ,Lazarus’ seit 2019, als sie ursprünglich entdeckt wurde, nicht viel daran geändert. Allerdings zeigt die Analyse der Viktimologie, dass die Operationen auf Europa ausgeweitet wurden, ein Trend, den wir häufiger sehen.“

Kaspersky-Empfehlungen zum Schutz vor Malware wie DTrack:

• Software zur Überwachung des Datenverkehrs einsetzen (z.B. „Kaspersky Anti Targeted Attack Platform“)!
• Umfassende Sicherheitslösung mit verhaltensbasierten Erkennungstechnologien verwenden (z.B. „Kaspersky Endpoint Detection and Response“), welche Angriffe frühzeitig erkennt und blockiert!
• Regelmäßig Sicherheitsüberprüfungen der IT-Infrastruktur des Unternehmens durchführen!
• Mitarbeiter mit Sicherheitstrainings für den Umgang mit Bedrohungen sensibilisieren (wie z.B. mit „Kaspersky Security Awareness“).

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 15.11.2022
DTrack activity targeting Europe and Latin America

Targeted cyberattacks logbook
LAZARUS

datensicherheit.de, 23.07.2020
MATA-Framework: Lazarus auch in Deutschland aktiv / APT-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework

SECURELIST by Kaspersky, 23.09.2019
Hello! My name is DTrack

[datensicherheit.de, 26.10.2021] Kaspersky-Forscher haben nach eigenen Angaben bei der Hacker-Gruppe „Lazarus“ – „einem äußerst produktiven ,Advanced Threat-Akteur‘“ – verstärkte Angriffsfähigkeiten auf Lieferketten identifiziert. Des Weiteren setze diese „Advanced-Persistent-Threat“-Gruppe nun das plattformübergreifende „MATA-Framework“ für Cyber-Spionageziele ein, so eine aktuelle Kaspersky-Untersuchung.

Lazarus einer der weltweit aktivsten Bedrohungsakteure

Cyber-Kriminelle entwickelten sich ständig weiter. Während einige APT-Akteure (Advanced Persistent Threat) ihre Strategie beibehielten, wendeten andere neue Techniken, Taktiken und Verfahren an, um neue Ziele noch erfolgreicher anzugehen. „Lazarus“ sei einer der weltweit aktivsten Bedrohungsakteure und mindestens seit dem Jahr 2009 aktiv. Diese APT-Gruppe stecke hinter groß angelegten Cyber-Spionage- und Ransomware-Kampagnen und sei bei Angriffen auf die Verteidigungsindustrie und den Kryptowährungsmarkt gesichtet worden. „Sie verfügen über eine Vielzahl fortschrittlicher Tools, die sie nun offenbar gegen neue Ziele einsetzen.“
Im Juni 2021 hätten Kaspersky-Forscher beobachtet, wie die „Lazarus“-Gruppe die Verteidigungsindustrie mit dem „MATA-Malware-Framework“, welches auf drei Betriebssysteme – „Windows“, „Linux“ und „macOS“ – abziele, angegriffen habe. In der Vergangenheit habe „Lazarus“ MATA genutzt, um verschiedene Branchen anzugreifen, etwa um Kundendatenbanken zu stehlen oder Ransomware zu verbreiten. „Nun verwendet ,Lazarus‘ MATA jedoch auch für Cyber-Spionagezwecke. Der Akteur nutzte eine Trojaner-Version einer Anwendung, von der bekannt ist, dass sie vom adressierten Opfer verwendet wird – ein typisches ,Lazarus‘-Merkmal.“ Es sei nicht das erste Mal, dass die „Lazarus“-Gruppe die Verteidigungsindustrie angreift: „Ihre vorherige ,ThreatNeedle‘-Kampagne wurde Mitte 2020 auf ähnliche Weise durchgeführt.“

Lazarus-Angriffe auf Lieferkette ausgeweitet

„Lazarus“ sei auch hinsichtlich Angriffe auf Lieferketten mit einem aktualisierten „DeathNote“-Cluster identifiziert worden, der aus einer leicht aktualisierten Variante von „BLINDINGCAN“ bestehe. Dabei handele es sich um eine Malware, die zuvor von der US Cybersecurity and Infrastructure Security Agency (CISA) gemeldet worden sei. „Kaspersky-Forscher entdeckten Kampagnen, die auf einen südkoreanischen Think-Tank und einen Anbieter von IT-Überwachungslösungen abzielten. Im ersten Fall, den Kaspersky-Forscher entdeckten, entwickelte ,Lazarus‘ eine Infektionskette, die von einer legitimen südkoreanischen Sicherheitssoftware ausging, indem eine schädliche ,Payload‘ bereitgestellt wurde. Im zweiten Fall war das Ziel ein Unternehmen, das Asset-Monitoring-Lösungen in Lettland entwickelt, ein untypisches Opfer für ,Lazarus‘.“ Als Teil der Infektionskette habe „Lazarus“ einen Downloader namens „Racket“ verwendet, welcher mit einem gestohlenen Zertifikat versehen gewesen sei. Hierbei seien anfällige Webserver kompromittiert und mehrere Skripte hochgeladen worden, um schädliche Dateien auf den erfolgreich angegriffenen Rechnern zu filtern und steuern.
„Die jüngsten Entwicklungen machen zwei Dinge deutlich: ,Lazarus‘ ist nach wie vor an der Verteidigungsindustrie interessiert und versucht außerdem, seine Fähigkeiten mit Angriffen auf die Lieferkette zu erweitern“, berichtet Ariel Jungheit, „Senior Security Researcher im Global Research and Analysis Team“ bei Kaspersky. Diese APT-Gruppe sei nicht die Einzige, die Supply-Chain-Angriffe durchführe. Jungheit führt aus: „Im vergangenen Quartal haben wir auch Attacken beobachtet, die von ,SmudgeX‘ und ,BountyGlad‘ durchgeführt wurden. Bei einem erfolgreichen Vorgehen, können Kompromittierungen der Lieferkette verheerende Folgen haben und weit mehr als nur ein Unternehmen in Mitleidenschaft ziehen, wie der Angriff auf SolarWinds im vergangenen Jahr deutlich gezeigt hat.“ Da Bedrohungsakteure in solche Fähigkeiten investierten, müssten wir wachsam bleiben und unsere Verteidigungsbemühungen darauf verstärkt konzentrieren.

Lazarus-Attacken als Warnung: Kaspersky-Empfehlungen zum Schutz vor zielgerichteten Angriffen

Das SOC-Team einer Organisation sollte stets Zugang zu den neuesten Bedrohungsdaten haben
„Das ,Kaspersky Threat Intelligence Portal‘ ist ein zentraler Zugangspunkt für die ,Threat Intelligence‘ des Unternehmens und bietet Cyber-Aangriffsdaten und Erkenntnisse, die von Kaspersky in über 20 Jahren gesammelt wurden.“ Es sei ein kostenloser Zugang zu den kuratierten Funktionen verfügbar, „mit denen Nutzer Dateien, URLs und IP-Adressen überprüft werden können“.

Cybersecurity-Teams sollten immer auf dem neuesten Stand hinsichtlich der aktuellen Bedrohungslage sein
Z.B. mithilfe der von GReAT-Experten entwickelten Kaspersky-Online-Schulungen.

EDR-Lösungen helfen bei der Erkennung, Untersuchung und Behebung von Vorfällen
Z.B. „Kaspersky Endpoint Detection and Response“

Zusätzlich zum grundlegenden Endpunktschutz sollte eine Sicherheitslösung auf Unternehmensebene, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt implementiert werden
Etwa „Kaspersky Anti Targeted Attack Platform“

Schulungen der Belegschaft zum Umgang mit Cyber-Bedrohungen
„Da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen, sollten Schulungen zum Sicherheitsbewusstsein innerhalb der Organisation eingeführt werden, in denen der Belegschaft praktische Fähigkeit im Umgang mit Cyber-Bedrohungen erlernt“ – zum Beispiel mit der „Kaspersky Automated Security Awareness Platform“.

Weitere Informationen zum Thema:

Kaspersky Threat Intelligence Portal
Analyze Files / Browse

SECURELIST by Kaspersky, 26.10.2021
APT trends report Q3 2021

SECURELIST by Kaspersky, 25.02.2021
Lazarus targets defense industry with ThreatNeedle

SECURELIST by Kaspersky, 28.07.2020
Lazarus on the hunt for big game

SECURELIST by Kaspersky, 22.07.2020
MATA: Multi-platform targeted malware framework

SECURELIST by Kaspersky, 23.08.2018
Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware

datensicherheit.de, 23.07.2020
MATA-Framework: Lazarus auch in Deutschland aktiv / APT-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework

datensicherheit.de, 24.02.2016
Cyberspionage und -sabotage: Lazarus-Gruppe in Asien verortet / Für zahlreiche verheerende Angriffe verantwortlich

[datensicherheit.de, 23.07.2020] Nach eigenen Angaben haben kaspersky-Forscher eine Reihe von Angriffen aufgedeckt, welche das fortschrittliche Malware-Framework „MATA“ gegen die Betriebssysteme „Windows“, „Linux“ und „MacOS“ einsetzen. Dieses Framework sei bereits seit dem Frühjahr 2018 im Einsatz und werde der berüchtigten nordkoreanischen APT-Gruppe „Lazarus“ zugeschrieben. Unter den Opfern sind demnach auch deutsche Organisationen.

Abbildung: kaspersky

kaspersky-Analyse: Opfer des Lazarus-MATA-Frameworks

MATA-Framework nimmt Betriebssysteme Windows, Linux und MacOS ins Visier

Schädliche, auf mehrere Plattformen abzielende Toolsets seien eher selten, da deren Entwicklung hohe Investitionen erforderten. Sie würden oft für den langfristigen Einsatz genutzt, was durch zahlreiche, über die Zeit verteilte Angriffe zu einem erhöhten Gewinn für den Bedrohungsakteur führe.
In den von kaspersky entdeckten Fällen sei das „MATA“-Framework in der Lage, die drei Betriebssysteme „Windows“, „Linux“ und „MacOS“ ins Visier zu nehmen. Das deutet laut kaspersky darauf hin, „dass die Angreifer es für vielfältige Zwecke einsetzen wollten“. Dieses Framework bestehe aus mehreren Komponenten, wie etwa einem Loader, einem Orchestrator (zur Verwaltung und Koordinierung der Prozesse infizierter Geräte) sowie Plugins.
Laut kaspersky-Experten wurden die ersten Artefakte, die im Zusammenhang mit „MATA“ gefunden wurden, etwa im April 2018 verwendet. Seitdem setzten die Hintermänner des Malware-Frameworks dieses aggressiv für eine Reihe von Angriffen gegen Unternehmen weltweit ein, um Kundendatenbanken zu stehlen und Ransomware zu verbreiten.

Auch in Deutschland: MATA adressiert Opfer weltweit

Laut Daten der kaspersky-Telemetrie befanden sich die „vom ,MATA‘-Framework infizierten Opfer in Deutschland, Polen, der Türkei, Korea, Japan und Indien“. Der Bedrohungsakteur scheine sich nicht auf ein bestimmtes Gebiet zu konzentrieren. „Lazarus“ habe Systeme in verschiedenen Branchen kompromittiert, darunter ein Softwareentwicklungsunternehmen, eine E-Commerce-Firma und einen Internet-Service-Provider.
kaspersky-Forscher konnten „MATA“ demnach mit der „Lazarus“-Gruppe in Verbindung bringen, „die für ihre komplexen Operationen und Verbindungen nach Nordkorea sowie für Cyber-Spionage und finanziell motivierte Angriffe bekannt ist“. Eine Reihe von Forschern, darunter auch die von kaspersky, hättenen bereits früher über diese Gruppe berichtet, die auf Banken und andere große Finanzunternehmen abgezielt habe, einschließlich des „ATMDtrack“-Angriffs und der „AppleJeus“-Kampagne. Die jüngste Serie von Angriffen deute darauf hin, „dass der Akteur diese Art von Aktivität beibehält“.
„Diese Serie von Angriffen zeigt, dass ,Lazarus‘ bereit war, beträchtliche Ressourcen in die Entwicklung des Instrumentariums und in die Erweiterung der Reichweite anvisierter Organisationen zu investieren – um insbesondere die Jagd nach Geld und Daten verstärkt fortzusetzen“, erläutert Seongsu Park, Sicherheitsforscher bei kaspersky. Darüber hinaus deute die Entwicklung von Malware für „Linux“- und „MacOS“-Systeme häufig darauf hin, „dass der Angreifer das Gefühl hat, mehr als genug Tools gegen die ,Windows‘-Plattform zu besitzen, auf der die große Mehrheit der Geräte läuft“. Dieser Ansatz sei typisch für erfahrene APT-Gruppen. Park erwartet, „dass das ,MATA‘-Framework noch weiterentwickelt wird, und raten Organisationen, der Sicherheit ihrer Daten noch mehr Aufmerksamkeit zu schenken, da diese nach wie vor eine der wichtigsten und wertvollsten Ressourcen darstellen, die von solchen Attacken betroffen sein könnten“.

kaspersky-Tipps zum Schutz vor MATA-Angriffen (Multi-Plattform-Malware):

• Installation einer dedizierten Sicherheitslösung (wie z.B. „Kaspersky Endpoint Security for Business“ auf allen „Windows“-, „Linux“- und „MacOS“-Endpunkten. Dies ermögliche den Schutz vor bekannten und unbekannten Cyber-Bedrohungen und biete eine Reihe von Cyber-Sicherheitskontrolloptionen für jedes Betriebssystem.
• SOC-Teams Zugang zu den neuesten Erkenntnissen über Bedrohungen mittels „Threat Intelligence“ ermöglichen, „damit es über Instrumente, Techniken und Taktiken von Bedrohungsakteuren auf dem Laufenden bleibt“.
• Regelmäßige Erstellung von Backups aller relevanten Geschäftsdaten, auf die ein schneller Zugriff möglich ist. Auf diese Weise könnten wichtige Daten schnell wiederhergestellt werden, die mittels Ransomware verschlüsselt und unbrauchbar gemacht werden könnten.

Weitere Informationen zum Thema:

kaspersky SECURELIST, GreAT, 22.07.2020
MATA: Multi-platform targeted malware framework

kaspersky, 23.09.2019
Lazarus ist zurück: Spionage-Tool ‚Dtrack‘ greift Finanzinstitute und Forschungszentren an / Die Sicherheitsexperten von Kaspersky haben ein bislang unbekanntes Spionagetool entdeckt, das in indischen Finanzinstituten und Forschungszentren gefunden wurde

kaspersky daily, 08.01.2020
Lazarus-Gruppe erweitert Funktionen seiner Kryptowährungs-Malware AppleJeus / Kaspersky-Experten identifizieren zweite Angriffswelle mit geänderten Taktiken und Verfahren

datensicherheit.de, 04.04.2017
Cyber-Banküberfall nach Jagd auf Lazarus-Gruppe verhindert

Von unserem Gastautor Liviu Arsene, Leitender Bedrohungsanalyst, Bitdefender

[datensicherheit.de, 05.05.2019] Ausgeklügelte Bedrohungen gehören nach wie vor zu den großen Herausforderungen für Unternehmen. Mit zunehmender Komplexität der Umgebungen finden Malware-Akteure kreative Wege, um gut versteckte und ungepatchte Einstiegspunkte ins Netzwerk zu finden, sich hinter den Kulissen zu verstecken und Schaden anzurichten.

Scranos ist eine Rootkit-fähige Spyware

Die Bitdefender Cyberthreat Intelligence Labs deckten mit Scranos jüngst eine neue Spyware auf. Scranos ist eine Rootkit-fähige Spyware, die mit einem möglicherweise gestohlenen Zertifikat signiert wurde. Diese Rootkit-Malware ist eng mit dem Betriebssystem verbunden, sehr diskret und schwer zu erkennen. Scranos wird sich voraussichtlich mindestens so weit verbreiten wie die Anzeigenbetrugssoftware von Zacinlo. Zacinlo ist ein extrem ausgeklügeltes Spyware-Programm, das seit Anfang 2012 heimlich läuft, Einnahmen für seine Betreiber generiert und die Privatsphäre seiner Opfer unterwandert. Scranos infiziert aktuell Anwender weltweit, weil es plattformübergreifend bestehen kann und es eine immer größere Zahl an Unternehmensendpunkten hinzugewinnt, insbesondere durch Android-Geräte.

Bild: Bitdefender

Liviu Arsene, Senior e-threat Analyst, Bitdefender

So funktioniert Scranos

Ein Einfallstor in ein Unternehmen sind seine Mitarbeiter. Neueren Studien zufolge bleiben sie das schwächste Glied in der IT-Sicherheit von Unternehmen. Bedrohungsakteure überwinden die Hürde Mitarbeiter bei ihren Angriffen mit Leichtigkeit. Cyberkriminelle nutzen dazu auch eine Vielzahl von Drittanbietern verwendeten Tools. Zu ihren neuesten Angriffsvektoren gehören kleinere und weniger geschützte Zulieferer von Unternehmen, um über diese einfacher eindringen zu können.

Scranos wird über Trojaner verbreitet, die als gehackte Software getarnt sind, oder über Anwendungen, die sich als legitime Software ausgeben, wie etwa E-Book-Leseapplikationen, Videoplayer, Treiber oder ironischerweise sogar Antimalware-Produkte. Bei der Ausführung wird ein Rootkit-Treiber installiert, um die Malware zu tarnen und die Persistenz zu gewährleisten. Nach erfolgreicher Installation kontaktiert die Malware seinen Control- and Command-Server, um zu erfahren, welche weitere Komponenten heruntergeladen und installiert werden müssen. Die Befehls- und Kontrollserver treiben dann je nach Plattform andere Malware-Stämme voran – ein deutlicher Indikator dafür, dass das Netzwerk nun mit Dritten in Pay-per-Installationssystemen verbunden ist. Die Akteure hinter Scranos optimieren die bösartige Software kontinuierlich, fügen neue Komponenten auf bereits infizierten Geräten hinzu und verbessern die Funktionalitäten.

Schadsoftware versteckt sich vo der Systemverwaltung

Scranos ist so konzipiert, dass es sich vor der Systemverwaltung effektiv verstecken kann und Firewalls und traditionelle Antimalware auf Anweisung leicht deaktiviert. Es ist hartnäckig und nutzt die Tarnfähigkeiten, um auch nach der Erkennung und Entfernung zurückzukehren. Da die Datenexfiltration das Hauptziel ist, steht viel auf dem Spiel: von Fragen des Risikomanagements über Diebstahl geistigen Eigentums bis hin zur Schädigung der Markenreputation. Auch die Einhaltung von Compliancevorschriften ist ein großes Thema. Laut einer aktuellen Gartner-Studie hat die „beschleunigte Datenschutzregulierung“ den „Talentmangel“ als das größte Risiko für Unternehmen im ersten Quartal 2019 überholt.

Scranos kann auch die Unternehmensinfrastruktur nutzen, um weitere Angriffe zu starten. Dies wirft ernsthafte rechtliche Bedenken auf und wirkt sich auf die Reputation der Marke und letztlich auf das Unternehmensergebnis aus.

Den gesamten Lebenszyklus von Bedrohungen im Blick

Bis 2020 werden laut Prognose von Juniper Research über fünf Milliarden personenbezogene Datensätze gestohlen worden sein, was einem Schaden durch Cyberkriminalität von schätzungsweise  acht Billionen Dollar entspricht. Während die Scranos-Akteure weiterhin an der Feinabstimmung von Malware-Komponenten arbeiten, werden die Möglichkeiten zum Passwort- und Datendiebstahl verfeinert und entziehen sich dem traditionellen Endpunktschutz.

Ein Box-Checking-Ansatz mit Firewalls und 8-stelligen Passwörtern reicht nicht mehr aus, um diesen heimlichen und hartnäckigen Bedrohungen zu begegnen. Die Schlüssel zur Erkennung und Blockierung ausgefeilter Angriffe sind Anti-Rootkit, Anti-Ransomware, Verhaltensanalyse, erweiterte Bedrohungskontrolle und Machine Learning. Um ihr Sicherheitsniveau zu verbessern, müssen Unternehmen auch ihre Erkennungs- und Reaktionsfähigkeiten verbessern. Die Sicherheit sollte agiler werden, so dass sie sich mit dem Unternehmen und der zunehmenden Anzahl von „Dingen“, die geschützt werden müssen, bewegt und skaliert.

Um komplexe Bedrohungen zu minimieren, benötigen Security Operations Center (SOC) einen Einblick in die Erkennung nach dem Befall mit der Malware. Eine optimale Lösung umfasst erweiterten Schutz, Erkennung und Reaktion und berücksichtigt den gesamten Lebenszyklus von Bedrohungen. SOC-Analysten können Technologien wie Sandbox Analyzer für detaillierte Analysen zu komplexen Bedrohungen, Network Traffic Security Analytics (NTSA) zur Analyse von Anomalien des Netzwerkverkehrs und des Endpunktverkehrs sowie Hypervisor-basierte Speicher-Introspektion nutzen, um Zero-Days so einfach wie jede bereits bekannte Schwachstelle zu identifizieren.

Indikatoren für einen Befall analysieren

SOC-Analysten müssen nicht nur komplexe Attacken blockieren, sondern auch die dahinterstehenden Bedrohungsakteure verstehen sowie die Reaktionen für mehrere Angriffsvektoren automatisieren. Dazu müssen sie sich Echtzeit-Einblicke verschaffen, die die Bedrohungssuche verbessern und die die Zeit für die Jagd nach „Phantomen“ verkürzen.

Bei ihrem detaillierten Einblick in die Rootkit-Funktionsweise von Scranos entdeckten die Bitdefender Analysten Hunderte von einzigartigen Indizien für einen Befall (Indicator of compromise; IoC), darunter File-Hashes, Domains, Registrierungsschlüssel, URLs und IPs.

Neben detaillierten Analysen zu Bedrohungen wie Scranos analysieren und blockieren die Bitdefender-Labs nach eigenen Angaben täglich rund 600.000 IoCs mit verschiedenen Technologien, darunter maschinelles Lernen, fortschrittliche Heuristiken und Inhaltsanalyse. Bedrohungsinformationen, die kuratierte IoC-Daten zu komplexen Bedrohungen wie Scranos enthalten, wurden kürzlich für Unternehmen und SOCs weltweit verfügbar gemacht.

Weitere Informationen zum Thema:

datensicherheit.de, 28.04.2019
Herausforderungen bei Cloud-First-Strategie meistern

datensicherheit.de, 11.12.2018
Bitdefenders Cybersicherheitsprognosen: Top 10 für 2019

datensicherheit.de, 2ß.09.2018
WhatsApp: Spyware-App für Android liest Nachrichten aus

[datensicherheit.de, 01.03.2018] Michael Kretschmer, „VP EMEA“ von Clearswift RUAG Cyber Security, hat Stellung zum aktuellen Hacker-Angriff auf das Datennetzwerk des Bundes genommen. Ein Problem im Falle solcher Angriffe sei die Frage, ob dieser tatsächlich abgeschlossen ist. Wenn eine Infektion mit Malware auftritt, insbesondere wenn es sich um einen „Advanced Persistent Threat“ (APT) handelt, könne diese sich systemübergreifend replizieren und vor der Aktivierung einige Zeit lang verborgen bleiben. Während also die primäre Quelle entdeckt, entschärft und damit behoben worden sei, könnte es sekundäre Infektionen geben, die sich innerhalb des Netzwerks verstecken.

Alle Systeme und Anwendungen auf neueste Versionen patchen!

Es gebe zwei Möglichkeiten, das Ausmaß und den möglichen Schaden dieser Art von Hacks entscheidend zu lindern. Zum einen sollte sichergestellt sein, dass alle Systeme und Anwendungen auf die neuesten Versionen gepatcht wurden.
Durch diese Maßnahme werde sichergestellt, dass bekannte Schwachstellen geschlossen werden und externe Hacker daran gehindert werden, sich Zugang zu verschaffen. Dies alleine reiche allerdings nicht aus, um die Gefahr zu bannen.

Dokument als „Waffe“

Denn neben dem bewussten Ausnutzen von bekannten Schwachstellen gebe es eine weitaus geläufigere Angriffsmethode, nämlich die Verwendung eines Dokuments, das als „Waffe“ zum Angriff genutzt wird.
Hierbei handele es sich um Malware, die in ein harmloses Dokument eingebettet ist und beim Öffnen aktiviert wird. Diese Dokumente würden dann im Rahmen einer Phishing-Attacke verschickt. Die häufigsten Arten der Dokumente, die für diese Art von Attacken genutzt werden, seien Lebensläufe, welche an Personalabteilungen adressiert sind, sowie Rechnungen an die Finanzabteilung. Aber natürlich könnte auch jeder einzelne Mitarbeiter mit einem „potenziellen Stellenangebot“ angesprochen werden, welches daraufhin geöffnet wird und zur Aktivierung der Malware führt.

Adaptive „Data Loss Prevention“-Strategie

Diese Art von E-Mails würden oftmals an persönliche E-Mail-Adressen geschickt – mit dem Zweck, dass der Einzelne sie im Unternehmensnetzwerk öffnet und somit eine Infektion auslöst.
Bei diesem speziellen Angriffstyp, bei dem Dokumente mit eingebetteter Malware als Mittel genutzt werden, könne eine Technik Abhilfe schaffen, die als „Structural Sanitization“ bezeichnet wird.
Diese helfe dabei die Bedrohung entscheidend abzuschwächen und sei Teil einer adaptiven „Data Loss Prevention“-Strategie. Die Funktion entferne gezielt alle aktiven Inhalte aus eingehenden E-Mails und Dokumenten; der Rest des Inhalts bleibe allerdings unberührt.

Ganzheitlicher Ansatz erforderlich!

Hierbei stelle einzig ein ganzheitlicher Ansatz sicher, dass keine Malware in das Unternehmen gelangen kann. Nur so sei der Schutz auch gewährleistet, wenn Mitarbeiter beispielsweise auf ihre privaten E-Mails zugreifen.
Zusammenfassend gesagt, könne ein effektives Patch-Management einen Teil dazu beitragen, Malware-Angriffe per E-Mail zu verhindern. Doch effektiven Schutz böte lediglich eine Lösung zur E-Mail-Sicherheit, die gezielt alle aktiven Inhalte entfernt und somit die eingebettete Malware unschädlich macht.

Weitere Informationen  zum Thema:

datensicherheit.de, 01.03.2018
Selbst nach Cyber-Attacke: Unternehmen ändern ungern Sicherheitsstrategie

datensicherheit.de, 01.03.2018
Nach Hacker-Angriff auf Bundesregierung: Schwierige Suche nach den Tätern

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

datensicherheit.de, 01.03.2018
Ohne automatisierte Netzwerk-Dauerüberwachung zu leichtes Spiel für Angreifer

[datensicherheit.de, 10.02.2014] Kaspersky Lab veröffentlicht Details über eine Cyberspionagekampagne namens „The Mask“  (in spanischer Sprache auch Careto ( Maske)). Die APT (Advanced Persistent Threat)-Attacke gilt aufgrund ihrer Komplexität und der verwendeten Werkzeuge als eine der derzeit fortschrittlichsten Cyberspionagekampagnen. Bei „The Mask“ kommt eine äußerst ausgeklügelte Malware mit Rootkit, Bootkit, Versionen für Mac OS X und Linux sowie mögliche Varianten für Android und iOS (iPhone und iPad) zum Einsatz.

Angriffsziele sind Regierungsorganisationen, diplomatische Einrichtungen und Botschaften, Energie-, Öl- und Gas-Unternehmen sowie Forschungseinrichtungen und Aktivisten. Die „The Mask“-Opfer kommen aus 31 Ländern weltweit – darunter auch aus Deutschland und der Schweiz.

Die Angreifer haben es auf sensible Daten der infizierten Systeme abgesehen, wie beispielsweise Arbeitsdokumente, Verschlüsselungscodes, VPN-Konfigurationen (Virtual Private Network) für sichere Verbindungen, SSH-Schlüssel (Secure Shell) zur Kommunikation mit einem SSH-Verschlüsselungsserver und RDP-Dateien (Remote Desktop Protocol), die zum Aufbau von Terminal-Verbindungen dienen.

„Es gibt zahlreiche Anzeichen dafür, dass hinter ,The Mask‘ eine nationalstaatlich unterstützte Kampagne steht“, sagt Costin Raiu, Director Global Research and Analysis Team (GReAT) bei Kaspersky Lab. „Zunächst haben wir einen sehr hohen Grad an Professionalität bei der operativen Durchführung dieser Kampagne festgestellt – vom Infrastrukturmanagement bis zum Shutdown der Kampagne. Daneben wurden neugierige Blicke etwa durch den Einsatz von Zugriffsregeln vermieden. Und auch die Tatsache, dass Logdateien mittels Wiping vollständig gelöscht wurden, lässt diese APT-Attacke in Sachen Perfektion zu einer der derzeit fortschrittlichsten Bedrohungen – noch vor Duqu – erscheinen. Das operative Sicherheitsniveau ist für konventionelle Cyberkriminelle ungewöhnlich.“

Die Kaspersky-Experten wurden im vergangenen Jahr auf „The Mask/Careto“ aufmerksam, als sie Exploit-Versuche auf eine Schwachstelle in den Unternehmenslösungen von Kaspersky Lab feststellten, obwohl die Schwachstelle bereits seit fünf Jahren behoben war. Das Exploit bot der Malware die Möglichkeit, sich vor Entdeckung zu schützen. Dadurch wurde das Interesse der Virenforscher geweckt und entsprechende Untersuchungen wurden eingeleitet.

© Kaspersky Labs

Ausgefeilte APT-Attacke Careto/„The Mask“

Die Folgen für die Opfer können desaströs sein. So unterbricht „The Mask“ alle Kommunikationskanäle und sammelt die wichtigsten Informationen von den infizierten Maschinen. Die Entdeckung der Malware ist aufgrund versteckter Rootkit-Möglichkeiten, integrierter Funktionalitäten und zusätzlicher Cyberspionage-Module extrem schwierig.

Die Haupterkenntnisse der „The Mask/Careto“-Kampagne:

• Die Malware-Autoren scheinen Spanisch als Muttersprache zu sprechen – was bei APT-Attacken recht ungewöhnlich ist.
• Die Kampagne war seit mindestens fünf Jahren bis zum Januar 2014 aktiv. Erste Careto-Samples tauchten 2007 auf. Während der Kaspersky-Untersuchungen wurden die Command-and-Control (C&C)-Server abgeschaltet.
• Kaspersky Lab hat 380 Opfer identifiziert. Infektionen gab es neben Deutschland und der Schweiz auch in Algerien, Argentinien, Ägypten, Belgien, Bolivien, Brasilien, China, Costa Rica, Frankreich, Gibraltar, Großbritannien, Guatemala, Irak, Iran, Kolumbien, Kuba, Libyen, Malaysia, Mexiko, Marokko, Norwegen, Pakistan, Polen, Spanien, Südafrika, Tunesien, Türkei, USA und Venezuela.
• Die Komplexität und die Universalität der genutzten Werkzeuge macht diese Cyberspionage-Operation sehr speziell – dazu zählen der wirksame Einsatz von High-end-Exploits, äußerst hochentwickelte Malware mit Rootkit, Bootkit, Versionen für Mac OS X und Linux sowie mögliche Varianten für Android und iOS (iPhone/iPad). „The Mask“ hat zudem eine auf Kaspersky-Unternehmenslösungen angepasste Attacke durchgeführt.
• Als Angriffsvektoren dienten mindestens ein Exploit für Adobe Flash Player (CVE-2012-0773). Dabei handelte es sich um Flash-Player-Versionen, die älter als Version 10.3 und 11.2 waren. Das Exploit wurde erstmals von der Firma VUPEN entdeckt und im Jahr 2012 für einen Wettbewerb namens „CanSecWest Pwn2Own“ zum Durchbrechen der Google-Chrome-Sandbox verwendet.

Infizierungsmethoden und Funktionalität

Bei der „The Mask“-Kampagne wurden Spear-Pishing-E-Mails mit Links auf eine infizierte Webseite eingesetzt. Die gefährliche Webseite beinhaltet zahlreiche Exploits, mit denen die Besucher abhängig von der Systemkonfiguration infiziert werden. Nach einer erfolgreichen Infizierung leitet die gefährliche Webseite den Nutzer auf eine gutartige Seite, die in der Spear-Pishing-E-Mail erwähnt wurde – beispielsweise YouTube oder Nachrichtenportale.

Wichtig dabei ist: Die Exploit-Webseiten infizieren den Besucher nicht automatisch. Die Angreifer hosten die Exploits in bestimmten Ordnern auf der Webseite, die außer in den Spear-Pishing-E-Mails nicht erwähnt werden. Manchmal nutzen die Angreifer Sub-Domains auf Exploit-Webseiten, damit diese realistischer wirken. Diese Sub-Domains simulieren Unterkategorien von wichtigen spanischen und internationalen Zeitungen wie „The Guardian“ oder die „Washington Post“.

Viruslist.com, 11.02.2014
Die Careto-/Mask-APT-Attacke: Frequently Asked Questions