„3102“-Malware für Attacken auf europäische Medien und die US-Regierung
Mit dem Laden des Videos erklären Sie sich mit den Datenschutz- und Nutzungsbedingungen von YouTube bzw. Google einverstanden.
Chinesische Angreifer nutzen „3102“-Malware bei Attacken auf europäische Medien und die US-Regierung
München, den 28. September 2015 –Details zu einem vergangenen Cyberangriff gibt Palo Alto Networks bekannt. Am 6. und 11. Mai dieses Jahres beobachtete Unit 42, das Forschungszentrum von Palo Alto Networks, zwei gezielte Angriffe jeweils gegen die US-Regierung und auf ein europäisches Medienunternehmen. Die Akteure, die den Angriff ausführten, brachten das gleiche Dokument mittels Speer-Phishing-E-Mails zu den beiden Zielen. Das Dokument transportierte eine Variante des „9002“-Trojaners namens „3102“. Dieser ist in hohem Maße auf Plugins angewiesen, um die Funktionalität bereitzustellen, die die Akteure an den Zielsystemen benötigen. Deshalb ist der Trojaner 3102 mit drei Plugins ausgestattet worden. Diese ermöglichen es den Akteuren, mit dem Dateisystem eines kompromittierten Systems zu interagieren sowie Tastatureingaben und den Bildschirminhalt zu erfassen.
Die bei diesem Angriff eingeschleuste Malware, der 3102-Trojaner, scheint verwandt zu sein mit Evilgrab, eingesetzt beim Watering-Hole-Angriff auf die Website des Präsidenten von Myanmar im Mai 2015. Ebenso deckten die Forscher von Unit 42 bei ihrer Untersuchung Beziehungen zwischen der C2-Infrastruktur und Einzelpersonen in China, die in Online-Hacking-Foren aktiv sind, auf. Diese Personen arbeiten offensichtlich an der Entwicklung von Trojanern.
WildFire, der Threat-Intelligence-Cloud-Service von Palo Alto Networks, stufte den Code, der in diesen Speer-Phishing-Angriffen ausgeliefert wird, als bösartig ein. Der Inhalt wurde auch in AutoFocus, dem Bedrohungserkennungs- und informationsdienst von Palo Alto Networks als 9002 markiert. Das Dokument zum Transport der Malware, das bei den beiden Speer-Phishing-Angriffen als Anhang zum Einsatz kam, nutzt die Schwachstelle CVE-2012-0158 aus und hierbei insbesondere eine Sicherheitslücke in einem ActiveX-Steuerelement. Bei erfolgreicher Ausnutzung installiert das bösartige Excel-Dokument Code und öffnet ein Köderdokument. Dieses enthält eine Liste von Namen und E-Mail-Adressen von Privatpersonen, die angeblich mit der Hong Kong Profi Teachers´ Union in Beziehung stehen.
Die Bedrohungsgruppe nutzt sowohl Speer-Phishing als auch die Watering-Hole-Methode als Angriffsvektoren und verschiedene Malware-Familien bei ihren Angriffen auf Einzelpersonen und Interessengruppen. Doch während sie verschiedene Angriffsmethoden und Malware verwendet, scheint sie immer wieder auf wesentliche Teile ihrer Infrastruktur zurückzugreifen. Dies dürfte hilfreich sein für die Erkennung und proaktive Schadensbegrenzung. Die Spuren führen zur Hacker-Community in China. Die Verbindung zu einem chinesischen Privatunternehmen deute Unit 42 zufolge darauf hin, dass diese Gruppe angeheuert wurde, im Gegensatz zu Gruppen wie APT1, die dem chinesischen Militär zugeordnet werden.
Die bei diesem Angriff eingesetzten Dateien sind von WildFire ordnungsgemäß als bösartig eingestuft worden. Benutzer von Palo Alto Networks Traps für erweiterten Endpunktschutz sind vor der Ausnutzung der Sicherheitsanfälligkeit CVE-2012-0158 geschützt, wenn sie nicht in der Lage waren, ihre Systeme zu patchen. Nutzer von AutoFocus finden weitere Informationen über Samples und Indikatoren zu diesem Angriff im entsprechenden Eintrag zu 9002.