ISPIN Security Radar #27/19

/Security Radar

Erhalten Sie einen kurzen Überblick über Security-Themen wie z.B. AndroMut, Godlua, und TA505, welche die Sicherheitsexperten im Moment beschäftigen.

Auch schon mal auf eine Phishing-Nachricht reingefallen? Phishing bleibt eine der grössten Gefahrenquellen: Cyberkriminelle versenden dabei massenhaft professionell und zumindest auf den ersten Blick überzeugend gefälschte E-Mails im Namen von Banken, Unternehmen oder öffentlichen Einrichtungen. Wie z.B. TA505, eine der erfolgreichsten Cybercrime-Gruppen der Welt.

TA505 verbreitet im Rahmen ihrer jüngsten Kampagne, die sich diesmal an Mitarbeiter von Banken und Finanzdienstleistern in den USA, den Vereinigten Arabischen Emiraten und Singapur richtet, eine neue Form von Malware. TA505 wurde mit dem Einsatz des Dridex-Banking-Trojaners und der Locky-Ransomware berüchtigt. Seit letztem Dezember ist TA505 sehr aktiv und verwendet legitime oder schädliche RATs (Remote Access Trojaner) wie FlawedAmmyyy, FlawedGrace und Remote Manipulator System (RMS). Im Blog analysierte Trend Micro auch ein neues Malware-Tool namens Gelup, das die Gruppe am 20. Juni in einer ihrer Kampagnen einsetzte. Gelup missbraucht die Benutzerkontensteuerung (UAC) und arbeitet als Ladeprogramm für andere Bedrohungen. Trend Micro hat ausserdem festgestellt, dass TA505 eine neue Hintertür namens FlowerPippi verwendet. FlowerPippi sammelt und filtert Informationen von den infizierten Computern, kann aber auch beliebige Befehle ausführen, die sie vom Command and Control (C2)-Server erhält. Mehr dazu in der Trend Micro Technical Analysis

Proofpoint-Experten haben zudem kürzlich herausgefunden, dass TA505 eine Kampagne mit einer neuen herunterladbaren Malware namens AndroMut gestartet hat. Diese verfügt über sehr ausgefeilte Anti-Analyse-Funktionen und könnte von Andromeda, welches eines der grössten Malware-Botnetze der Welt war, inspiriert sein. TA505 verwendet derzeit AndroMut als ersten Schritt in einem zweistufigen Angriff, der die Erstinfektion nutzt, um eine zweite Nutzlast auf den kompromittierten Computer zu werfen: den FlawedAmmy Remote Access Trojaner. Diese bösartige Malware ermöglicht es dem Angreifer, die vollständige Kontrolle über den infizierten Windows-Computer aus der Ferne zu übernehmen und ihm Zugriff auf Dateien, Anmeldeinformationen und mehr zu geben - mit deren Hilfe TA505 in diesem Fall die Netzwerke von Banken infiltriert. Wie bei anderen TA505-Kampagnen wird die Malware in Phishing-E-Mails verbreitet, die behaupten, Rechnungen und andere Dokumente zu enthalten, die angeblich mit Bank- und Finanzgeschäften zu tun haben.

Eine neu entdeckte Backdoor-Malware namens Godlua wurde bei DDoS-Angriffen auf veraltete Linux-Systeme durch eine Schwachstelle im Atlassian Confluence Server (CVE-2019-3396) entdeckt. Godlua missbraucht das DNS-over-HTTPS-Protokoll um seine Anfragen an den zugehörigen Kommando-Server zu verbergen – dies berichteten viele Security-Seiten. Das stimmt nicht ganz wie Heise.de korrigiert. Godlua verschlüsselt seinen DNS-Traffic zwar mit HTTPS, benutzt allerdings nicht das DoH-Protokoll.

 

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter