Neues von Palo Alto Networks zur OilRig-Malware-Kampagne
Aktualisiertes Tool-Set und erweiterte Ziele
München, den 07. Oktober 2016 – Seit der ersten Analyse zur OilRig-Kampagne hat das Forschungszentrum von Palo Alto Networks die Aktivitäten dieser Gruppe weiter beobachtet. In den letzten Wochen haben die Malware-Forscher entdeckt, dass die Gruppe ihre Clayslide-Malware-Dokumente für die Auslieferung aktualisiert und die Helminth-Backdoor gegen Opfer eingesetzt hat. Darüber hinaus hat die Gruppe das Spektrum der ins Visier genommenen Organisationen offensichtlich gezielt erweitert.
Die Gruppe hinter der OilRig-Kampagne nutzt weiterhin Spear-Phishing-E-Mails mit bösartigen Microsoft-Excel-Dokumenten, um die Opfer zu kompromittieren. So wurde beispielsweise eine E-Mail an eine Regierungsbehörde verschickt mit vorgeblichen neuen Portal-Logins für die Website einer Fluggesellschaft. Anfang des Jahres waren mehrere Unternehmen Ziele von Spear-Phishing-Angriffen. In diesen Fällen waren die Dokumente, die den bösartigen Makrocode enthielten, sehr spezifisch angepasst. Teilweise wurden als Absender Partnerfirmen verwendet, die bereits eine Beziehung mit dem jeweiligen Empfänger hatten.
In den letzten Monaten haben die Forscher von Palo Alto Networks eine Reihe von Änderungen an der von den Oilrig-Akteuren verwendeten Malware entdeckt. So wurden vier verschiedene Varianten identifiziert, die bei der Ausführung jeweils unterschiedliche Dateinamen einsetzten. Die Akteure nutzen VBS für die Kommunikation mit Remote-Servern über HTTP. VBS oder VBScript steht für Visual Basic Script und ist eine von Microsoft entwickelte Skriptsprache. Das Skript versucht wiederholt, eine Datei aus dem Remote-Server herunterzuladen, und führt sie dann aus, wenn sie verfügbar ist. Es wird zudem auch ein Powershell-Skript ausgeführt, das mittels der Clayslide-Excel-Dokumente eingeschleust wird. Insgesamt gibt es geringfügige Unterschiede zwischen den beobachteten Malware-Varianten, die bei der OilRig-Kampagne zum Einsatz kommen. Die Hauptunterschiede liegen in den verwendeten Domains und IP-Adressen. Bei der beobachteten Excel-Datei, die die Skriptdatei upd.vbs im System des Opfers hinterlässt, war ein besonders interessantes Merkmal die IP-Adresse, die Verbindungen zur Remexi-Backdoor hat. Dies stimmt mit früheren Anzeichen überein, dass auf Akteure aus dem Iran hindeutet, die hinter diesen Angriffen stecken.
Palo Alto Networks konnte eine Reihe von interessanten Befehlen beobachten, die von den Angreifern stammten, einschließlich Versuchen mit Remote-FTP-Servern zu kommunizieren und verschiedenen Befehlen zum Ausspionieren. Diese Befehle kamen in scheinbar zufälligen Intervallen an, so dass sie wahrscheinlich tatsächlich von den Angreifern ausgeführt werden und nicht von einem automatisierten System.
Die OilRig-Akteure, die sich die Malware-Familien Helminth und Clayslide zunutze machen, wählen als Angriffsziele weiterhin verschiedene hochrangige Unternehmen und Organisationen auf der ganzen Welt. Diese werden mit maßgeschneiderter Malware angegriffen, die aktiv weiterentwickelt, aktualisiert und verbessert wird. Während der Einsatz dieser Malware nicht sehr anspruchsvoll ist, werden Techniken wie DNS Command & Control (C2) verwendet, die es erlauben, in vielen Organisationen und Unternehmen unter dem Radar zu agieren.