Palo Alto identifiziert neue Backdoor-Malware von DragonOK
Unternehmensdaten im Visier von Cyberangriffen –
Palo Alto Networks identifiziert neue Backdoor-Malware von DragonOK
Die Forschungsabteilung Unit 42 von Palo Alto Networks hat mithilfe seiner Bedrohungserkennung AutoFocus eine Reihe von Phishing-Angriffen entdeckt, die sich gegen japanische Unternehmen richten. AutoFocus wurde eingesetzt, um in einem großen Daten-Pool, der von WildFire und anderen Beobachtungsdiensten von Palo Alto Networks generiert wird, schnell nach Bedrohungsmustern zu suchen und diese zu korrelieren. Auf diese Weise gelang es den Sicherheitsexperten, die Angriffe mit einer Gruppe, die allgemein bekannt ist als „DragonOK“, in Verbindung zu bringen.Diese Angriffe fanden zwischen Januar und März 2015 statt.
DragonOK hatte es zuvor bereits gezielt auf japanische High-Tech-und Industrieunternehmen abgesehen. Nun hat Palo Alto Networks eine neue Backdoor-Malware mit dem Namen „FormerFirstRAT“ entdeckt, die von den Angreifern eingesetzt wird. Diese Kampagne umfasste fünf separate Phishing-Angriffe, die jeweils eine andere Variante der SysGet-Malware, die auch als HelloBridge bekannt ist, enthielten. Die Malware wurde als Attachment getarnt, das die Benutzer zum Öffnen der Datei verleiten sollte. Hierzu wurde der Icon der ausführbaren Datei verändert, um etwa als harmlose Adobe-, Word- oder Excel-Datei zu erscheinen.
„Angriffe auf produzierende Unternehmen und Hightech-Schmieden werden wir in Zukunft auch in Europa zunehmend beobachten. Auf der gerade stattfindenden Hannover Messe ist Industrie 4.0 das beherrschende Thema. Die voranschreitende Automatisierung und Vernetzung in der Industrie sowie der Einzug von Robotern in Fabriken macht Unternehmen verwundbarer als zuvor“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Sicherlich bietet Industrie 4.0 sehr viele Vorteile und Chancen – aber auch die Anfälligkeit für Cyberattacken wird zumindest zunächst steigen, da viele Firmen und deren Infrastruktur nicht vorbereitet sind.“
Die SysGet-Dateien in dieser Kampagne kommunizierten über das HTTP-Protokoll mit einem einzigen C&C-Server (C2), der auf biosnews.info gehostet ist. Alle fünf Phishing-Kampagnen in den zwei Monaten zielten auf ein Fertigungsunternehmen, aber die letzte Kampagne galt einem ebenfalls High-Tech-Unternehmen.
Die Akteure von DragonOK scheinen ihre Taktiken, Techniken und Prozesse weiterentwickelt zu haben, mit zwei neuen Malware-Familien, von denen eine maßgeschneidert zu sein scheint. Allerdings haben sie die gleichen E-Mail-Adressen wie bisher genutzt, um Domains für C2- und/oder Malware-Hosting zu registrieren. Das bedeutet, auch bei der neuen Malware waren die Aktivitäten immer noch relativ einfach zu verfolgen und die neue Malware selbst war nicht besonders fortschrittlich gegenüber jener, die die Gruppe in der Vergangenheit verwendet hatte.
Obwohl die DragonOK-Akteure nicht zu den technisch fortschrittlichsten Vertretern ihrer Zunft zählen, haben sie ein hohes Maß an Ausdauer gezeigt bei der Jagd auf ihre Ziele. Viele sogenannte APT-Gruppen (Adcanced Persistent Threats) sind innovativer und penetranter. Leider sind die von DragonOK eingesetzten Werkzeuge kombiniert mit Speer-Phishing-Angriffen trotzdem oft erfolgreich, für böswillige Akteure mit genügend Zeit.
Alle von Palo Alto Networks untersuchten Malware-Proben wurden ordnungsgemäß vom hauseigenen Erkennungsdienst WildFire als Malware identifiziert. Palo Alto Networks empfiehlt Unternehmen, zu überprüfen, ob alle diese Indikatoren-Sets in ihren aktuellen Sicherheitslösungen enthalten sind und diese gegebenenfalls hinzuzufügen und ihre Netzwerke zu überprüfen. Als ideale Sicherheitslösung empfiehlt Palo Alto Networks einen Plattform-basierten Ansatz. Dieser bietet Schutz in jeder Phase der Angriffskette und die Bedrohungsabwehr wird ständig aktualisiert, wenn unbekannte Bedrohungen erkannt werden.
