ISPIN Security Radar #16/19

/Security Radar

Die Woche 16 war in jeder Hinsicht eine sehr hektische Woche.  So stand Frankreich in dieser Woche vor der teilweisen Zerstörung eines seiner berühmtesten Sehenswürdigkeiten, der Kathedrale Notre Dame. Glücklicherweise konnte der grösste Teil des Gebäudes und seiner Artefakte gerettet werden. Leider versuchen Betrüger jede Tragödie für einen schnellen Dollar auszunutzen. Behörden in mehreren Ländern haben bereits Warnhinweise wegen möglicher Betrugsfälle herausgegeben.

Auch die Cyberkriminellen und APT-Gruppen waren wieder sehr aktiv, allen voran «Operation C-Major», «Lazarus Group», «Indrik Spider» und «APT32».

Die Lazarus-Gruppe ist eine cyberkriminellen Gruppe, die der nordkoreanischen Regierung zugeschrieben wird.  Die Gruppe ist seit mindestens 2009 aktiv und soll für den Cyberangriff, vom November 2014 auf Sony Pictures, im Rahmen der Operation «Blockbuster» der «Novetta» Gruppe verantwortlich gewesen sein. Die von der Lazarus Gruppe verwendete Malware korreliert mit anderen gemeldeten Operationen wie «Flame», «Operation 1Mission», «Operation Troy», «DarkSeoul» und «Ten Days of Rain». Ende 2017 verwendete die Lazarus Gruppe KillDisk, ein Tool zum Löschen von Festplatten, bei einem Angriff auf ein in Mittelamerika ansässiges Online-Casino. Aktuell sind sie mit der Operation «FastCash» beschäftigt. Mit dem hochentwickelten Trojaner namens «Trojan.Fastcash» werden die Switch-Applikationsserver der Geldautomaten infiziert. Die Malware fängt dann die betrügerische Lazarus-Bargeldbezugsanfragen des Geldautomaten, welche mit den Bankkarten der Betrüger verknüpft sind, ab und sendet eine gefälschte Bestätigung, ohne dass das Guthaben auf den Bankkarten überprüft wurde. Mit diesem Verfahren ist es «Lazarus» möglich die Geldautomaten austricksen und grosse Summen Bargeld auszuzahlen, ohne dass die Bank davon Wind bekommt.

«APT32» ist eine cyberkriminellen Gruppe, auch bekannt unter den Namen SeaLotus, APT-C-00, Cobalt Kitty und OceanLotus, die seit mindestens 2014 aktiv ist.  Sie haben es auf hochkarätige Unternehmens- und Regierungsziele, vorrangig in Länder wie Vietnam, die Philippinen, Laos oder Kambodscha, abgesehen. Die Gruppe nutzt bei ihren Angriffen ausgiebig «strategic web compromises», kompromittieren einer vom Opfer oft besuchten Webseite, um die Opfer zu gefährden. Die Hackergruppe ist seit diesem Jahr mit komplett neuen Exploits, Ködern und selbstentpackenden bösartigen Archivdateien aktiv. Gemäss ESET-Forschern nutzt «OceanLotus» derzeit eine bekannte Sicherheitslücke in Microsoft Office aus (CVE-2017-11882) um eine Hintertür zu installieren, die zur Überwachung und Datenexfiltration geeignet ist. Der Zugriff auf das System erfolgt dabei entweder über schädliche, makroladende Dateien (zB. .rtf), oder neuerdings auch mit der Verwendung von selbstentpackenden (SFX) Archiven. Diese nutzen die gängigen Dokumentsymbole, um potenzielle Opfer in die Irre zu führen. Bei der Ausführung werden die sich selbst entpackenden RAR-Dateien abgelegt. Diese führen dann DLL-Files – komplett mit einer .ocx-Erweiterung – aus, was zur Ausführung weiterer bösartiger Payloads führt.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter