Aktuelles, Branche - geschrieben von cp am Mittwoch, Juli 29, 2015 11:21 - noch keine Kommentare
Zero-Day-Exploit der Gruppe APT3/UPS
Zusammenhang mit vorhergehenden Zero-Day-Exploits und Pirpi-Trojaner
[datensicherheit.de, 29.07.2015] Unit 42, die Forschungsabteilung von Palo Alto Networks, beobachtet bereits seit längerer Zeit die Aktivitäten der APT3-Gruppe, die auch unter dem Namen UPS bekannt ist. Das Intrusion-Set chinesischer Herkunft ist bekannt dafür, sich frühzeitig Zugang zu Zero-Day-Schwachstellen zu verschaffen. Es liefert an die kompromittierten Ziele einen Backdoor-Trojaner namens Pirpi aus. Die UPS-Gruppe hat bereits mehrere Zero-Day-Schwachstellen ausgenutzt, zuletzt beim Zero-Day-Angriff auf Hacking Team, worüber Unit 42 bereits berichtet hatte. Der jüngste Zero-Day-Exploit dieser Hackergruppe, erfasst als CVE-2015-3113, hat Ähnlichkeiten mit den älteren Zero-Day-Schwachstellen CVE-2014-1776 und CVE-2014-6332, die von der UPS-Gruppe im Mai bzw. November 2014 ausgenutzt worden waren. Die Ähnlichkeiten betreffen speziell die bösartigen Flash-Dateien und die ausgelieferten Nutzlasten.
Die UPS-Gruppe setzt offensichtlich ihre Angriffskampagnen fort, bei denen sie Zero-Day-Schwachstellen ausnutzt. Dies zeigt, dass diese Gruppe auf ziemlich anspruchsvollem Niveau agiert und Zugriff auf wichtige Ressourcen besitzt. Im Rahmen ihrer Angriffskampagnen mit Zero-Day-Exploits hat die UPS-Gruppe konsequent die gleichen Auslieferungstechniken und Programmiercode in verschiedenen Komponenten wiederverwendet. UPS hat dabei auch auf Steganografie zurückgegriffen, um nach der Ausnutzung von Zero-Day-Schwachstellen die ausgelieferten Nutzlasten zu verbergen – durch die Einbettung speziell des Backdoor-Trojaners Pirpi in animierte GIF-Dateien. Die Gruppe verwendet immer wieder auch ihre ActionScript-Teile innerhalb der bösartigen Flash-Dateien, um Sicherheitslücken auszunützen sowie Portionen von Shellcode zu verteilen, der nach der Ausnützung ausgeführt wird.
In Bezug auf die Ähnlichkeiten bei den Nutzlasten liefert UPS Varianten des Pirpi-Backdoor-Trojaners aus, die meist sehr ähnlich zueinander sind. Unit 42 hat bei den analysierten Pirpi-Backdoors herausgefunden, dass diese die gleiche Konfigurationsdatei, einen gemeinsamen C2-Kommunikationskanal und einen ähnlichen Command Handler nutzen. Unternehmen können alle diese Überschneidungen und Gemeinsamkeiten nutzen, sich vor diesem fortschrittlichen Gegner zu schützen. Nutzer von AutoFocus unter den Kunden von Palo Alto Networks können Pirpi-Nutzlasten mit dem Pirpi Tag identifizieren. WildFire klassifiziert automatisch Pirpi Samples als bösartig und Palo Alto Networks hat bereits die IPS-Signatur 14643 veröffentlicht, um Pirpi-C2-Kommunikation zu erkennen.
Weitere Informationen zum Thema:
datensicherheit.de, 10.07.2015
Cybersicherheit: Energieunternehmen sehen sich gut gerüstet
datensicherheit.de, 04.12.2014
Palo Alto Networks: Drei große Trends zur Threat-Prevention im Jahr 2015
Aktuelles, Experten - Feb. 4, 2025 0:50 - noch keine Kommentare
„AI Act“: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft
weitere Beiträge in Experten
- AI Act: eco-Kommentar zum Inkrafttreten – nationale Gesetzgebung muss Vision und Praxis vereinen!
- Datenschutzkonferenz: Hilfestellungen für effektive Anonymisierung und Pseudonymisierung personenbezogener Daten geplant
- Zwei der weltweit größten Cybercrime-Foren mit über zehn Millionen registrierten Nutzern abgeschaltet
- KI: Jeder Achte glaubt, dass Anwälte weitgehend überflüssig werden könnten
- BLZK-Kritik an ePA: Vertrauen in Datenschutz verspielt
Aktuelles, Branche, Studien - Feb. 7, 2025 0:31 - noch keine Kommentare
Industrie sollte Cyber-Sicherheit ihrer Geräte, Maschinen und Anlagen dringend auf ihre Agenda 2025 setzen!
weitere Beiträge in Branche
- Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken!
- IT-Sicherheit: Gedanken zum Generationenkonflikt
- Finanzsektor: Herausforderungen und zugleich Chancen durch DORA
- AI Act der EU verbietet bestimmte KI-Systeme und verpflichtet zur -Kompetenz
- Phishing auch bei Smartphones Sicherheitsrisiko Nr. 1
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren