Globaler Cyberangriffswelle auf der Spur

Die „Sofacy-Gruppe“ (auch bekannt als Fancy Bear, APT28, STRONTIUM, Pawn Storm oder Sednit) hat weltweit verschiedene staatliche und private Einrichtungen angegriffen. Die Mehrheit der Angriffsziele waren in NATO-orientierten Nationalstaaten, aber auch mehreren GUS-Staaten beheimatet. Bei den Angriffen kamen in erster Linie Varianten des Zebrocy-Tools zum Einsatz, die von Unit 42 zuvor bereits analysiert wurden. Ein kleinerer Teil der zur Malware-Infektion eingesetzten Dokumente enthielt Cannon oder eine Variante von Zebrocy Delphi. Seitdem die Forschungsabteilung von Palo Alto Networks Mitte 2015 damit begonnen hatte, den Einsatz von Zebrocy zu verfolgen, beobachtete sie eine deutlich zunehmende Häufigkeit des Einsatzes dieses Tools. Im Vergleich zu anderen Backdoor-Tools, die mit der Sofacy-Gruppe in Verbindung gebracht werden, ist der Einsatz von Zebrocy in Angriffskampagnen weitaus verbreiteter.

Das Aktivitätscluster, das im aktuellen Blog detailliert beschrieben wird, dreht sich hauptsächlich um einen gemeinsamen Autorennamen, der in jedem der Lieferdokumente verwendet wird: Joohn. Die erste interessante Stichprobe war ein Dokument mit dem Dateinamen „crash list(Lion Air Boeing 737).docx“, der das Zebrocy-Tool transportierte. Durch die Nutzung der AutoFocus-Plattform für Bedrohungsanalysen in Verbindung mit den von VirusTotal gesammelten Daten konnten die Forscher aus Artefakten, die in den Metadaten und Verhaltensweisen entdeckt wurden, das Cannon-Tool sowie eine Reihe zusätzlicher Lieferdokumente, Nutzlasten und Ziele ermitteln. Als Angriffsvektor scheinen die Akteure auf Spear-Phishing zu setzen. Dabei verwenden sie E-Mail-Konten, die bei legitimen E-Mail-Anbietern registriert sind, anstelle von gefälschten E-Mail-Adressen oder zuvor kompromittierten Konten. Die Kontonamen sehen optisch ähnlich aus wie legitime Namen von Regierungsorganisationen oder anderen vertrauenswürdigen Drittanbietern. Die untersuchten Lieferdokumente sind funktional gesehen ähnlich, wobei die Remote-Template-Funktion in Microsoft Word verwendet wurde, um ein bösartiges Makro aus der ersten C2-Stufe abzurufen und schließlich eine initiale Nutzlast zu laden und auszuführen. Die Mehrheit der Lieferdokumente enthält eine generische Ködergrafik, in der das Opfer aufgefordert wird, Makros ohne zusätzlichen Inhalt zu aktivieren. Die Angreifer verlassen sich dabei scheinbar nur auf die Dateinamen, um die Opfer zum Öffnen des bösartigen Dokuments zu verleiten.

Insgesamt haben die Forscher von Unit 42 neun „bewaffnete“ Dokumente abgefangen, was sich zeitlich vom 17. Oktober 2018 bis zum 15. November 2018 erstreckte. Alle wiesen den gleichen Autorennamen auf und lieferten Varianten von Zebrocy oder Cannon aus. Der Zielradius des Datensatzes erstreckt sich über vier Kontinente und reicht von Regierungsstellen auf Bundesebene bis hin zu lokalen Behörden. Unit 42 hat auch eine Timeline-Analyse unter Verwendung der gesammelten Daten durchgeführt. Dies ermöglichte es, herauszufinden, wie die Sofacy-Gruppe ihre Angriffe in der Kampagne „Dear Joohn“ durchführte und auch, wie sie ihre Angriffe mittels automatisierter Tools erstellt haben könnte. Die Sofacy-Gruppe setzt somit ihre Angriffe auf Organisationen auf der ganzen Welt mit ähnlichen Taktiken und Techniken fort. Die Gruppe zeigt deutlich eine Präferenz für die Verwendung eines einfachen Downloaders wie Zebrocy als First-Stage-Nutzlast bei diesen Angriffen. Sie entwickelt aber weiterhin auch neue Varianten von Zebrocy, zuletzt eine VB.NET- und C#-Version. Zudem scheint es, dass auch verschiedene Varianten des Cannon-Tools in früheren Angriffskampagnen zum Einsatz kamen.

Mehr Details zu aktuellen Erkenntnissen finden Sie hier…