Palo Alto Networks meldet Attacken auf Regierungsstellen
23. November 2018Palo Alto Networks hat aktuelle Beobachtungen zu aktuellen Cyberangriffen der Sofacy/APT28-Gruppe veröffentlicht. Diese setzt neue Malware ein, um Cyberspionageangriffe gegen mehrere Regierungsstellen auf der ganzen Welt, darunter in Nordamerika, Europa und der GUS, durchzuführen. Die wichtigsten Erkenntnisse:
• Entdeckung einer neuen Malware namens „Cannon“, ein Remote-Access-Trojaner (RAT): Diese neue Malware wurde von Sofacy/Fancy Bear eingesetzt, um Cyberspionageangriffe durchzuführen. Die Gruppe verwendet auch weiterhin Zebrocy (ein bekannter RAT) bei ihren Angriffen.
• Einsatz verschiedener Techniken, um der Erkennung und Analyse zu entgehen: 1.) Anstatt den bösartigen Code in einen Anhang aufzunehmen, lädt Sofacy/Fancy Bear ihn aus einem Remote-Dokument. 2.) Die Gruppe verwendet E-Mails zum Senden und Empfangen von Befehlen, und 3.) Die Gruppe nutzt auch spezielle Makrocodierungen, um die Versuche, den bösartigen Makrocode zu analysieren, zu vereiteln.
• Social Engineering: Sofacy/Fancy Bear hat bei einem seiner Angriffe als Köderthema die jüngste Flugzeugkatastrophe der Lion Air verwendet. Dies ist ein weiteres Beispiel für die anhaltende Taktik dieser Gruppe, Social Engineering zur Verbreitung von Malware einzusetzen.
Palo Alto Networks hat eine Reihe mit Malware versehener Dokumente abgefangen, die eine Technik verwenden, um Remote-Templates mit schädlichen Makros zu laden. Die Cyberspionage-Aktivitäten werden mit der Sofacy-Gruppe (alias APT28) in Verbindung gebracht. Das Vorgehen der Cyberkriminellen mittels dieser Art von „bewaffneten“ Dokumenten ist nicht ungewöhnlich. Aufgrund des modularen Charakters sind die Gefahren in diesem Fall aber schwieriger durch automatisierte Analysesysteme zu identifizieren. Die verbreiteten Dokumente richteten sich an mehrere Regierungsstellen auf der ganzen Welt, darunter in Nordamerika und Europa sowie in einem Staat der GUS.
Palo Alto Networks stellt fest, dass, wenn der C2-Server zum Zeitpunkt der Ausführung nicht verfügbar ist, der schädliche Code nicht abgerufen werden kann, was das Lieferdokument weitgehend harmlos macht. Zum Zeitpunkt der Untersuchung waren die C2-Server für mehrere dieser Dokumente noch in Betrieb, so dass das schädliche Makro und die nachfolgenden Codes abgerufen werden konnten. Die Analyse ergab eine konsistente Nutzlast des gut dokumentierten Zebrocy-Trojaners in der ersten Stufe. Zusätzliche Datenanalysen führten zu einer sekundären Nutzlast, die als „Cannon“ benannt wurde, ein Remote-Access-Trojaner (RAT). Cannon wurde bisher nicht im Einsatz bei der Sofacy-Gruppe beobachtet und nutzt einen neuartigen E-Mail-basierten C2-Kommunikationskanal.
Ein besonders interessanter Aspekt der aktuellen Malware, die von den Angreifern verwendet wurde, war der Dateiname „crash list(Lion Air Boeing 737).docx“, der sich auf den jüngsten Flugzeugabsturz in Südostasien bezog, mit dem Namen „Joohn“ als Autor. Dieses Dokument zielte offenbar mittels Speer-Phishing auf eine Regierungsorganisation ab, die sich mit auswärtigen Angelegenheiten in Europa befasst. Sobald der Benutzer das Dokument öffnen will, versucht Microsoft Word sofort, das Remote-Template zu laden, das ein bösartiges Makro und eine bösartige Nutzlast enthält. Dies ist nicht die erste cyberkriminelle Gruppe, die aktuelle Ereignisse als Lockmittel verwendet, aber interessant ist, wie diese Gruppe versucht, die Aufmerksamkeit für ihren Angriff zu nutzen.
Sobald das Opfer auf die Schaltfläche „Inhalt aktivieren“ kickt, wird das eingebettete Makro ausgeführt. Die Makros, die für diese Lieferdokumente eingesetzt werden, nutzen eine weniger gebräuchliche Methode zur Verwendung der AutoClose-Funktion. Dies ist eine Art Anti-Analyse-Maßnahme, da Word den schädlichen Code erst dann vollständig ausführt, wenn der Benutzer das Fenster schließt. Wenn eine automatisierte Sandbox ihre Analysesitzung beendet, ohne das Dokument zu schließen, kann die Sandbox die gefährliche Aktivität komplett übersehen.
Da die Lieferdokumente Remote-Templates für die Zebrocy-Installation nutzen, erhöht dies die Schwierigkeit, den Angriff zu analysieren, weil ein aktiver C2-Server benötigt wird, um das makrofähige Dokument zu erhalten. Der Köder für diese Angriffe zeigt, dass die Sofacy-Gruppe weiterhin auf aktuelle Ereignisse in ihren Social-Engineering-Themen setzt. Der von Palo Alto Networks entdeckte neue Trojaner namens Cannon verwendet SMTPS over TCP port 587 als C2-Kanal im Gegensatz zu Zebrocy, wo HTTP- oder HTTPS-basierter C2-Traffic beobachtet wurde. Dies ist keine neue Taktik, kann aber bei der Umgehung von Sicherheitsmaßnahmen effektiver sein, da die Aktivität verschleiert ist und die beteiligten externen Hosts zu einem legitimen Dienstanbieter gehören.