Logistikunternehmen im Visier

Palo Alto Networks meldet xHunt-Kampagne

Palo Alto Networks meldet xHunt-Kampagne

Cyberangriffe auf kuwaitische Logistik- und Transportunternehmen

Unit 42, das Security- und Bedrohungsforschungsteam von Palo Alto Networks, hat Cyberangriffe mit bisher unbekannten Tools entdeckt, die Transport- und Speditionsunternehmen mit Sitz in Kuwait als Angriffsziel hatten.

Der erste bekannte Angriff dieser Kampagne richtete sich gegen ein kuwaitisches Transport- und Reedereiunternehmen. Die Akteure installierten hierbei ein Backdoor-Tool namens Hisoka. Mehrere benutzerdefinierte Tools wurden später in das System heruntergeladen, um Aktivitäten nach der Exploit-Phase durchzuführen. Alle diese Tools scheinen vom gleichen Entwickler erstellt worden zu sein. Unit 42 konnte mehrere Varianten dieser Tools sammeln, darunter eines aus dem Juli 2018.

Der Entwickler der gesammelten Tools verwendet Namen von Charakteren aus der Animationsserie „Hunter x Hunter“, die die Grundlage für den Kampagnennamen „xHunt“ bilden. Zu den gesammelten Tools gehören die Backdoor-Tools Sakabota, Hisoka, Netero und Killua. Diese Tools verwenden nicht nur HTTP für ihre Command-and-Control-Kanäle (C2), sondern bestimmte Varianten dieser Tools nutzen auch DNS-Tunneling oder E-Mails für die C2-Kommunikation. Während DNS-Tunneling als C2-Kanal recht verbreitet ist, wurde die spezifische Methode, bei der diese Gruppe E-Mails zur Erleichterung der C2-Kommunikation verwendete, von Unit 42 seit geraumer Zeit nicht mehr beobachtet. Diese Methode verwendet Exchange Web Services (EWS) und gestohlene Zugangsdaten, um E-Mail-„Entwürfe“ für die Kommunikation zwischen dem Akteur und dem Tool zu erstellen. Zusätzlich zu den oben genannten Backdoor-Tools hat Unit 42 auch Tools beobachtet, die als Gon und EYE bezeichnet werden. Diese bieten Backdoor-Zugang und die Möglichkeit, Aktivitäten nach der Exploit-Phase durchzuführen.

Durch vergleichende Analysen identifizierten die Forscher verwandte Aktivitäten, die auch Kuwait zwischen Juli und Dezember 2018 betrafen, wie kürzlich von IBM X-Force gemeldet wurde. Obwohl es keine direkten Infrastrukturüberschneidungen zwischen den beiden Kampagnen gibt, zeigt die historische Analyse, dass die Aktivitäten von 2018 und 2019 wahrscheinlich miteinander in Zusammenhang stehen.

Trotz Ähnlichkeiten bei der Ausrichtung auf kuwaitische Unternehmen, der Struktur der Domainnamen und dem zugrundeliegenden Tool-Set bleibt es zu diesem Zeitpunkt unklar, ob die beiden Kampagnen (Juli bis Dezember 2018 und Mai bis Juni 2019) von denselben Angreifern durchgeführt wurden.

Die historische Analyse der Infrastruktur zeigte einen engen Zusammenhang zwischen der Hisoka- und Sakabota-Infrastruktur sowie der bekannten OilRig-Infrastruktur. Aufgrund dieser Überschneidungen und der gezielten Ausrichtung auf Unternehmen der Transport- und Schifffahrtsbranche im Nahen Osten verfolgt Unit 42 diese Aktivitäten sehr genau weiter. Die Forscher werden die Analyse fortsetzen, um eine Verbindung zu bekannten Bedrohungsgruppen genauer zu ermitteln.

Weitere fundierte Informationen rund um die Beobachtungen finden Interessierte hier .