ISPIN Security Radar #17/19

/Security Radar

In der Woche 17 sorgte die Kronos-Malware für Schlagzeilen, als Marcus Hutchins, der britische Sicherheitsforscher, Hacker und Entdecker des  WannaCry-Kill-Switch, sich schuldig bekannte die Banking-Malware entwickelt zu. Der Kronos Banking-Trojaner wurde erstmals 2014 entdeckt und machte sich schnell einen Namen als versierte Malware, die in der Lage ist, Anmeldeinformationen zu stehlen und Webinjects für Banken-Websites zu verwenden. Der Trojaner enthielt auch ein Ring3-Rootkit, um ihn vor anderen Trojanern zu schützen. Doch 2016 fiel der einst gewaltige Banktrojaner vom Radarschirm der Forscher. Nach jahrelanger Ruhepause haben Hacker den zugrunde liegenden Code überarbeitet und zielen aktiv auf Opfer in Deutschland, Japan und Polen. Die neueste Variante hat eine neue Befehls- und Steuerungsfunktion integriert, die für die Arbeit mit dem Tor-Anonymisierungsnetzwerk entwickelt wurde, so eine Analyse von Proofpoint-Forschern.

Anunak, eine der produktivsten cyberkriminellen Gruppen die auch als FIN7, Carbanak oder die Cobalt Group bekannt ist, ist für den Diebstahl von mehr als 1 Milliarde Euro verantwortlich. Anunak bzw. FIN7 operierte typischerweise, indem es Bankmitarbeiter mit der Carbanak-Malware infizierte, welche sie als Dreh- und Angelpunkt in kompromittierten Netzwerken verwendeten, bis die Gruppe Zugang zu sensiblen Systemen erhielt, um Geld von den Konten einer Bank zu transferieren oder koordinierte Geldautomatenauszahlungen zu inszenieren. Durch die Entdeckung des vollständigen kompilierten Quellcodes in dieser Woche ist es Forschern nun möglich, diesen besser zu analysieren. FireEye hat eine 4-teilige Serie von Artikeln veröffentlicht, die die Carbanak-Funktionen detailliert beschreiben.

Die Turla Group ist eine in Russland ansässige cyberkriminellen Gruppe, die seit 2004 Opfer in über 45 Ländern in diverses Branchen infiziert. Mitte 2015 war eine erhöhte Aktivität zu verzeichnen. Uroburos ist eine der anspruchsvollsten laufenden Cyber-Spionage-Kampagnen. Die Turla Group nutzt sowohl direkte Speer-Phishing-E-Mails als auch Watering-Hole-Angriffe, um die Opfer zu infizieren. «Wasserlöcher» sind Websites, die häufig von potenziellen Opfern besucht werden. Diese Websites werden von den Angreifern im Voraus kompromittiert und mit bösartigem Code infiziert. Abhängig von der IP-Adresse des Besuchers (z.B. der IP-Adresse einer Regierungsorganisation) bedienen die Angreifer Java- oder Browser-Exploits, signierte gefälschte Adobe Flash Player-Software oder eine gefälschte Version von Microsoft Security Essentials: Sobald der Benutzer infiziert ist, verbindet sich die Backdoor sofort mit dem Command-and-Control-Server (C&C), um ein Paket mit den Systeminformationen des Opfers zu senden. Sobald ein System kompromittiert ist, erhalten die Angreifer zusammenfassende Informationen vom Opfer, und auf dieser Grundlage liefern sie vorkonfigurierte Batch-Dateien mit einer Reihe von Befehlen zur Ausführung. Darüber hinaus laden die Angreifer benutzerdefinierte Lateral Movement Tools hoch, diese beinhalten ein spezielles Keylogger-Tool, ein RAR-Archivierer und Standardwerkzeuge wie ein DNS-Abfragetool von Microsoft. 

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter