Forscher des Cybersicherheitsunternehmens Securonix haben eine neue Angriffskampagne gegen hochrangige Ziele in Polen, Tschechien und anderen europäischen Ländern entdeckt, die sich scheinbar auf die nordkoreanische Hackergruppe APT37 zurückführen lässt. Um welche Organisationen es sich bei den Opfern der Angriffswelle handelt, geht aus dem Bericht nicht hervor.

Die Angreifer nutzen die bekannte Malware Konni, einen Remote Access Trojaner (RAT), der dazu in der Lage ist, sich langfristig in den angegriffenen Systemen einzunisten und sich dort immer weitreichendere Rechte zu verschaffen. Konni wird schon seit 2014 mit nordkoreanischen Hackern in Verbindung gebracht und wurde erst kürzlich bei einer Spear-Phishing-Kampagne gegen das russische Außenministerium beobachtet.

Die aktuelle Kampagne, von den Entdeckern STIFF#BIZON getauft, verläuft in mehreren Stufen. Zuerst erhalten die Opfer eine E-Mail mit einem angehängten Archiv, das sowohl ein Word-Dokument (missile.docx) als auch eine Windows-Shortcut-Datei (_weapons.doc.lnk.lnk) enthält. Öffnet man die LNK-Datei, wird ein Code ausgeführt, um ein base64-codiertes PowerShell-Skript in der DOCX-Datei zu finden. Dann wird Kontakt zu einem Command-and-Control Server aufgebaut und zwei weitere Dateien namens ‚weapons.doc‘ und ‚wp.vbs‘ werden heruntergeladen. Bei dem heruntergeladenen Dokument handelt es sich um den vermeintlichen Bericht einer russischen Kriegsberichterstatterin namens Olga Bozheva, in Wahrheit nur ein Köder, der das Opfer dazu bringen soll, die Malware auszuführen. Gleichzeitig läuft im Hintergrund heimlich die VBS-Datei, um einen geplanten Task im System des Opfers zu erstellen.

Ist diese Stufe des Angriffs erreicht, hat Konni sich bereits weitreichende Berechtigungen verschafft. So kann der RAT Screenshots aufnehmen und diese als GZIP exfiltrieren, State Keys aus der Local-State-Datei und gespeicherte Anmeldeinformationen aus den Webbrowsern des Opfers extrahieren sowie eine Remote Interactive Shell starten, die alle zehn Sekunden einen Befehl ausführen kann.

In der vierten und letzten Stufe des Angriffs können die Angreifer weitere Dateien als komprimierte .cab-Archive herunterladen, die die Funktionen von Konni unterstützen. Darunter sind DLLs, die dann legitime Windows-Service-Bibliotheken überschreiben, wie „wpcsvc“ in System32, das zum Ausführen von Befehlen im Betriebssystem mit höheren Benutzerrechten genutzt wird.

Darüber hinaus weisen die Sicherheitsforscher in ihrem Bericht darauf hin, dass zwar viele Faktoren auf APT37 als Hintermänner der Angriffe deuten, es jedoch auch Hinweise auf APT28, auch bekannt als FancyBear, als Urheber gibt. Dazu zählen beispielsweise IP-Adresse, Hosting Provider und Hostnamen, die zuvor in Angriffswellen von FancyBear aufgetaucht sind. Das allerdings bedeutet noch nicht, dass FancyBear tatsächlich an den aktuellen Attacken beteiligt ist. Unter Hackergruppen ist es mittlerweile eine weit verbreitete Praxis, falsche Hinweise in Kampagnen zu verstecken, die auf andere Angreifer schließen lassen. So sollen Sicherheitsforscher und Strafverfolger auf eine falsche Fährte gelockt werden.

Um sich vor derartigen Angriffen zu schützen, ist es wichtig, eine Awareness für Phishing und die damit verbundenen Gefahren zu schaffen. Links und Dokumente aus unbekannten Quellen sollten unter keinen Umständen sorglos geöffnet werden. In Kombination mit einer aktuellen Sicherheitssoftware sollten so bereits viele Gefahren im Vorfeld eliminiert werden.

Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Eva-Maria Nachtigall
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel