ISPIN Security Radar #19/19

/Security Radar

In der Woche 18 war unteranderem die russische cyberkriminelle Gruppe Sofacy, auch bekannt als Fancy Bear, APT28, STRONTIUM, Pawn Storm oder Sednit, sehr aktiv. Als Angriffsvektor benutzte die Gruppe mittels Speer-Phishing-Spam-E-Mail-Kampagnen den trojanischen Downloader «Coreshell» – eine verbesserte Version von Sourface, der von Sofacy bei vielen ihrer Angriffe eingesetzt wurde. In der ersten Phase des Angriffs sammelt Coreshell nur die grundlegendsten Informationen über das System und überträgt sie an den Server des Angreifers, um in der Folge die bösartige Payload, die auf dem infiltrierten Rechner ausgeführt werden soll, zu übermitteln. Die ausgehende und eingehende Kommunikation des Coreshell-Downloaders ist gesichert und verschlüsselt.

Weiter kann eine erhöhte Aktivität von DanaBot – einem Banken-Trojaner beobachtet werden, der sich durch kostenlose Downloaddateien wie Freeware, Torrent-Dateien und Softwareupdates, die auf Websites von Drittanbietern bereitgestellt werden, verbreitet. Ausserdem nutzen die Cyberkriminellen auch Spam-E-Mails, wie z.B. die DPD Delivery Email, um den Trojaner zu verbreiten.  Das Ziel von DanaBot ist es, die persönlichen Logindaten von E-Mail- und Bankkonten, mit Hilfe von Keyboard-Recording-Methoden, zu sammeln. Nachdem der Computer mit Danabot infiziert wurde, beginnt er, viele Dateien und Kopien von sich selbst zu erstellen und fügt sie in die Systemdokumente ein, verbraucht die Systemressourcen und verursacht Schäden an Ihren Systemdateien. Er schwächt die Systemsicherheit und öffnet eine Hintertür, so dass er zusätzliche Malware und Adware vom Server des Angreifers herunterladen kann. 

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter