Cyberkriminelle bleiben nicht stehen, sondern entwickeln ihre Technologien ständig weiter. Dafür gab es auch im ersten Quartal 2018 waren die Angriffsstatistiken zu diesem Zeitraum ein deutlicher Beleg (vgl. Teil 1). So ersetzen LNK-Angriffe und Crypto-Miner-Attacken andere, leichter zu entdeckende Angriffsformen.
Ein Beispiel für einen ansteigenden Angriffstyp ist Crypto-Mining: Die Angriffstechnik manipuliert massenweise Rechner dahingehend, dass sie unbemerkt Mining-Operationen für den Angreifer rechnen und ihm dadurch zusätzliches Krypto-Geld verschaffen. Gegenüber Ransomware, die im ersten Quartal 2018 erheblich abnahm, hat das den Vorteil, dass die Angriffe schwer zu entdecken sind und kein sichtbarer Schaden entsteht. Verwendet werden auch Varianten, die direkt auf den Diebstahl von Kryptowährung zielen wie der unten genauer dargestellte Angriff der Gruppe Lazarus mit ihrer neuen Angriffsvariante HaoBao. Insgesamt stieg die Menge der Angriffe auf Kryptowährungen im ersten Quartal um 629 Prozent.
Crypto-Mining mit Haobao
Bei Haobao beginnen die Angriffe mit einer Phishing-E-Mail, die eine Stellenanzeige bewirbt, auf ein in Dropbox gespeichertes Word-Dokument verweist und so versucht Anwender zu motivieren, dieses herunterzuladen. In dieses Word-Dokument ist ein weiteres Word-Dokument in einem älteren Format eingebettet. Es wird über ein bösartiges, bis dahin unbekanntes Visual-Basic-Makro gestartet, das dann Systemdaten aus dem befallenen System ausfiltert und an einen Kontrollserver sendet. In beiden Dateien ist das Wort Haobao enthalten, das den Mechanismus zum Ausfiltern der Daten auslöst. Die gewonnenen Daten dienen dazu, Ziele für spätere direkte Angriffe auf Kryptowährungen zu definieren.
Die Verbindung zu Lazarus schließt McAfee daraus, das die Angriffsmalware Verbindungen zu IP-Adressen herstellte, die bei früheren Lazarus-Angriffen verwendet wurden, die böswilligen Dokumente dieselben Autoren wie frühere Lazarus-Angriffe aus dem Jahr 2017 hatten und die bösartigen Dokumente dieselbe Struktur sowie ähnliche Stellenanzeigen verwendet.
Hidden Cobra startet weltweite Datenerkundungskampagne
Ein weiterer alter Bekannter, die Cyber-kriminelle Gruppe Hidden Cobra, startete im ersten Quartal 2018 sektorübergreifende, weltweite Datenerkundungskampagnen. Ziel der Operation GhostSecret sind Unternehmen mit kritischer Infrastruktur, Akteure aus Finanz- und Gesundheitswesen sowie die Telekommunikations- und Unterhaltungsbranche. Auch hier ähnelten die verwendeten Angriffswerkzeuge älteren Angriffen derselben Akteure. Sie sind jedoch komplexer, funktionsreicher und nutzten zum Teil neue Infrastruktur, beispielsweise eine Serverinfrastruktur in Indien. Erste Angriffe mit ähnlicher, aber weniger komplexer Malware richteten sich 2017 gegen türkische Bankunternehmen.
Die Angriffe beginnen durch eine Spearphishing-E-Mail mit einem Word-Dokument. Dadurch wird ein in Flash-Code eingebettetes Implantat, Bankshot, eingeschleust. Es wird von befallenen Rechnern als Dienst registriert. Die aktuelle Bankshot-Version eröffnet den kompletten Fernzugriff auf die befallenen Systeme und benutzt für die Kommunikation gängige Ports wie Port 443. Angreifer können Daten und Inhalte löschen, um keine Spuren zu hinterlassen. Das Implantat, das Befehle des Kontrollservers ausführt, generiert ein Dateiverzeichnis, erfasst Domänen- und Kontennamen für alle ausgeführten Prozesse sowie die Systemzeit und sendet diese Informationen an den Kontrollserver. Weiter kann Bankshot die Identität eines angemeldeten Benutzers übernehmen und so einen Prozess erstellen, der Dateien mit Nullen überschreibt, sie beim Neustart zur Löschung markiert oder Prozesse vollständig beendet.
Gar nicht goldig: Gold Dragon wieder aktiv
Schließlich sei noch auf die wieder aufgenommenen Aktivitäten mit Hilfe des Implantates Gold Dragon hingewiesen. Angegriffen wurden damit während der Olympischen Spiele in Pyeongchang in Südkorea Firmen, die an den Olympischen Winterspielen beteiligt waren. Die Malware erstellte Profile der Zielgeräte einschließlich Desktop-Verzeichnissen, zuletzt geöffneter Dateien, Programmordner sowie Registrierungs- und Ausführungsschlüssel und schickte sie verschlüsselt an den Kontrollserver.
Die koreanischsprachige Version war ein sekundäres Implantat, das die Persistenz des anfänglichen, dateilosen Implantats erweitert. Das ermöglichte ständige Datenausleitung und permanenten Zugriff durch die Angreifer. Auch die neue Angriffswelle erfolgt nach dem gleichen Muster: Sie kombiniert eine dateilose Malware mit einem PowerShell-Skript, das sich tarnt und zu Abwehr- und Schutzlösungen gehörende Prozesse gezielt sucht. Die versandten Spearphishing-Mails enthalten böswillige Word-Anhänge und diese wiederum ein verstecktes PowerShell-Implantat-Skript. Nach Anklicken des Word-Anhangs werden Benutzer aufgefordert, einen Prozess zu aktivieren, der den vermeintlichen Inhalt des Word-Dokuments am Bildschirm anzeigen soll. In Wirklichkeit startet er ein böswilliges VisualBasic-Makro, das das PowerShell-Skript über einen Remote-Server ausführt.
Danach lädt das PowerShell-Skript eine Bilddatei herunter, in deren Pixel weitere PowerShell-Skripte eingebettet sind. Dazu kommen weitere Verschleierungstechniken. Insgesamt ist Gold Dragon dadurch sehr schwer zu entdecken. Die Malware sammelt wie beim Angriff auf die Olympischen Spiele Daten zu Systemebenen und erstellt dadurch Profile von Zielcomputern.
Insgesamt lässt sich feststellen, dass Angreifer bekannte Angriffsmuster ausdifferenzieren, neue Komplexität und Funktionen hinzufügen und die Ziele ihrer Angriffe erweitern. Außerdem weichen sie auf neue, schwerer zu entdeckende Angriffsvarianten aus. Man darf gespannt sein, ob sich dieses Szenario bis zum nächsten Quartalsbericht fortsetzt.
Weitere Informationen zum Thema
- IT-Sicherheit in Deutschlands Unternehmen längst nicht perfekt
- Automatisierung unterstützt eine erfolgreiche Bedrohungsabwehr
- Mensch und Maschine: Das Dreamteam bei der Bedrohungssuche
- Herkömmliche Sicherheitsstrategien scheitern an Angriffsflut – neues Paradigma muss her
- Integrierte, offene Sicherheitsplattformen bieten dauerhaften Schutz
- IDC: IT-Security in Deutschland (Whitepaper)
- Erfolgreiche Cyber-Sicherheit erfordert eine neue Sichtweise (Whitepaper)
- Störenfriede stören – Kunst oder Wissenschaft (Whitepaper)
- McAfee Labs Threats-Report: Cryptocurrency-Mining-Malware und Phishing-Kampagnen auf dem Vormarsch (Whitepaper)