Aktuelles, Branche - geschrieben von cp am Mittwoch, Juli 29, 2015 11:21 - noch keine Kommentare
Zero-Day-Exploit der Gruppe APT3/UPS
Zusammenhang mit vorhergehenden Zero-Day-Exploits und Pirpi-Trojaner
[datensicherheit.de, 29.07.2015] Unit 42, die Forschungsabteilung von Palo Alto Networks, beobachtet bereits seit längerer Zeit die Aktivitäten der APT3-Gruppe, die auch unter dem Namen UPS bekannt ist. Das Intrusion-Set chinesischer Herkunft ist bekannt dafür, sich frühzeitig Zugang zu Zero-Day-Schwachstellen zu verschaffen. Es liefert an die kompromittierten Ziele einen Backdoor-Trojaner namens Pirpi aus. Die UPS-Gruppe hat bereits mehrere Zero-Day-Schwachstellen ausgenutzt, zuletzt beim Zero-Day-Angriff auf Hacking Team, worüber Unit 42 bereits berichtet hatte. Der jüngste Zero-Day-Exploit dieser Hackergruppe, erfasst als CVE-2015-3113, hat Ähnlichkeiten mit den älteren Zero-Day-Schwachstellen CVE-2014-1776 und CVE-2014-6332, die von der UPS-Gruppe im Mai bzw. November 2014 ausgenutzt worden waren. Die Ähnlichkeiten betreffen speziell die bösartigen Flash-Dateien und die ausgelieferten Nutzlasten.
Die UPS-Gruppe setzt offensichtlich ihre Angriffskampagnen fort, bei denen sie Zero-Day-Schwachstellen ausnutzt. Dies zeigt, dass diese Gruppe auf ziemlich anspruchsvollem Niveau agiert und Zugriff auf wichtige Ressourcen besitzt. Im Rahmen ihrer Angriffskampagnen mit Zero-Day-Exploits hat die UPS-Gruppe konsequent die gleichen Auslieferungstechniken und Programmiercode in verschiedenen Komponenten wiederverwendet. UPS hat dabei auch auf Steganografie zurückgegriffen, um nach der Ausnutzung von Zero-Day-Schwachstellen die ausgelieferten Nutzlasten zu verbergen – durch die Einbettung speziell des Backdoor-Trojaners Pirpi in animierte GIF-Dateien. Die Gruppe verwendet immer wieder auch ihre ActionScript-Teile innerhalb der bösartigen Flash-Dateien, um Sicherheitslücken auszunützen sowie Portionen von Shellcode zu verteilen, der nach der Ausnützung ausgeführt wird.
In Bezug auf die Ähnlichkeiten bei den Nutzlasten liefert UPS Varianten des Pirpi-Backdoor-Trojaners aus, die meist sehr ähnlich zueinander sind. Unit 42 hat bei den analysierten Pirpi-Backdoors herausgefunden, dass diese die gleiche Konfigurationsdatei, einen gemeinsamen C2-Kommunikationskanal und einen ähnlichen Command Handler nutzen. Unternehmen können alle diese Überschneidungen und Gemeinsamkeiten nutzen, sich vor diesem fortschrittlichen Gegner zu schützen. Nutzer von AutoFocus unter den Kunden von Palo Alto Networks können Pirpi-Nutzlasten mit dem Pirpi Tag identifizieren. WildFire klassifiziert automatisch Pirpi Samples als bösartig und Palo Alto Networks hat bereits die IPS-Signatur 14643 veröffentlicht, um Pirpi-C2-Kommunikation zu erkennen.
Weitere Informationen zum Thema:
datensicherheit.de, 10.07.2015
Cybersicherheit: Energieunternehmen sehen sich gut gerüstet
datensicherheit.de, 04.12.2014
Palo Alto Networks: Drei große Trends zur Threat-Prevention im Jahr 2015
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren