ISPIN Security Radar #23/19

/Security Radar

Letzte Woche wurde bekannt, dass die Systeme der Laborgruppe Eurofins, mit 190 Laboren in 37 Ländern, von einem neuartigen Verschlüsselungstrojaner befallen wurden. Um den Schaden einzudämmen wurden zahlreiche Systeme und Server vom Netz getrennt. Die Malware-Variante wurde mittlerweile identifiziert und es gibt keine Hinweise "auf unbefugten Diebstahl oder Weitergabe vertraulicher Kundendaten. "Die Auswirkungen dieses Angriffs auf unsere Finanzergebnisse können jedoch leider erheblich sein", so eine Prognose von Eurofins.

Die russische APT-Gruppe Fancy Bear (auch bekannt unter APT28, Sofacy oder Sednit) hat erneut eine neue Version des Trojaners Zebrocy erstellt. Zebrocy ist eine Sammlung von Downloadern, Droppern und Hintertüren. Downloader und Dropper dienen dabei der Aufklärung, die Hintertüren sichern den persistenten Zugriff der Spionageaktivitäten. Die Vielfalt von Zebrocy, bislang wurden Varianten in den Programmiersprachen «GO», «AutoIt», «Delphi», «VB.NET», «C#» und «Visual C++» gesichtet, soll die Detektion erschweren. Forscher von Kaspersky Lab haben nun beobachtet, wie die Gruppe mithilfe eines neuen Downloaders eine kürzlich entwickelte Backdoor-Familie für Organisationen in mehreren Ländern, darunter Deutschland, Grossbritannien, Iran, Ukraine und Afghanistan, bereitgestellt hat. Die in der Programmiersprache «Nim» geschriebene Hintertür wurde entwickelt, um Systeme zu analysieren, Anmeldeinformationen zu stehlen und den Angreifern zu helfen, die Dauerhaftigkeit auf einem kompromittierten Computer über einen längeren Zeitraum zu bewahren. Wie bei den vorangegangenen Kampagnen nutzt Zebrocy auch hier Speerphising-E-Mails, um die neue Malware an ausgewählte Unternehmen zu verteilen.

Auch bei der Xtunnel Malware von APT28 konnten wir letzte Woche einen Anstieg der Aktivitäten beobachten. Eine neuere Variante der Malware wird bei laufenden Angriffen verwendet. Diese Variante weicht von der Norm für APT28 ab, da sie laut Kaspersky Lab nur sehr wenige Ähnlichkeiten mit dem vorherigen Code der Gruppe aufweist. Die Dateigrösse der Malware mit über 3 MB ist ungewöhnlich, da APT28 den XTunnel-Code die letzten Jahre auf eine sehr kleine Grösse (unter 25kb) reduzierte.

Godzilla Loader, eine Malware die in Dark Web-Foren beworben wird, gehörte letzte Woche auch zu den aktivsten Malware. Godzilla füllt die «Downloader» oder «Dropper» Nische und bietet einen Umweg, der es ermöglicht, dass die Binärdatei, die zuerst auf dem betroffenen Computer läuft, keine der tatsächlichen Payloads enthält und stattdessen die Payload von einem Remote-Server herunterlädt. Godzilla wird ständig mit neuen Funktionen aktualisiert, die regelmässig hinzugefügt werden, und wird für 500 $ verkauft, was etwa einem Viertel der Angebotspreise seines besser etablierten Konkurrenten Emotet entspricht. Der Malware-Downloader verfügt über eine integrierte UAC-Bypass-Funktion, die es Angreifern ermöglicht, jede beliebige ausführbare Datei aufzurufen und auf dem infizierten System mit Administratorrechten auszuführen. Godzilla Loader ist auch mit modernsten Anti-Erkennungsfunktionen ausgestattet, womit die Malware sich von seinen Mitbewerbern im Dark Web versucht abzuheben. Godzilla Loader verwendet RSA-2048, um den C&C-Server zu erkennen. Der Malware verfügt auch über eine "zweistufige Ausfallsicherheit" für die Kommunikation mit dem C&C-Server sowie über ein vollwertiges Plugin-Ökosystem, das einen Keylogger, Passwortdiebstahl und ein Verbreitungsmodul enthält.

Wie gut sind die sensiblen Daten Ihrer Kunden und die Ihres Unternehmens geschützt? Mit den zuverlässigen Advanced Threat Protection Services von ISPIN gehen Sie auf eine Nummer sicher.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter