Aktuelles, Branche - geschrieben von cp am Mittwoch, Juli 29, 2015 11:21 - noch keine Kommentare
Zero-Day-Exploit der Gruppe APT3/UPS
Zusammenhang mit vorhergehenden Zero-Day-Exploits und Pirpi-Trojaner
[datensicherheit.de, 29.07.2015] Unit 42, die Forschungsabteilung von Palo Alto Networks, beobachtet bereits seit längerer Zeit die Aktivitäten der APT3-Gruppe, die auch unter dem Namen UPS bekannt ist. Das Intrusion-Set chinesischer Herkunft ist bekannt dafür, sich frühzeitig Zugang zu Zero-Day-Schwachstellen zu verschaffen. Es liefert an die kompromittierten Ziele einen Backdoor-Trojaner namens Pirpi aus. Die UPS-Gruppe hat bereits mehrere Zero-Day-Schwachstellen ausgenutzt, zuletzt beim Zero-Day-Angriff auf Hacking Team, worüber Unit 42 bereits berichtet hatte. Der jüngste Zero-Day-Exploit dieser Hackergruppe, erfasst als CVE-2015-3113, hat Ähnlichkeiten mit den älteren Zero-Day-Schwachstellen CVE-2014-1776 und CVE-2014-6332, die von der UPS-Gruppe im Mai bzw. November 2014 ausgenutzt worden waren. Die Ähnlichkeiten betreffen speziell die bösartigen Flash-Dateien und die ausgelieferten Nutzlasten.
Die UPS-Gruppe setzt offensichtlich ihre Angriffskampagnen fort, bei denen sie Zero-Day-Schwachstellen ausnutzt. Dies zeigt, dass diese Gruppe auf ziemlich anspruchsvollem Niveau agiert und Zugriff auf wichtige Ressourcen besitzt. Im Rahmen ihrer Angriffskampagnen mit Zero-Day-Exploits hat die UPS-Gruppe konsequent die gleichen Auslieferungstechniken und Programmiercode in verschiedenen Komponenten wiederverwendet. UPS hat dabei auch auf Steganografie zurückgegriffen, um nach der Ausnutzung von Zero-Day-Schwachstellen die ausgelieferten Nutzlasten zu verbergen – durch die Einbettung speziell des Backdoor-Trojaners Pirpi in animierte GIF-Dateien. Die Gruppe verwendet immer wieder auch ihre ActionScript-Teile innerhalb der bösartigen Flash-Dateien, um Sicherheitslücken auszunützen sowie Portionen von Shellcode zu verteilen, der nach der Ausnützung ausgeführt wird.
In Bezug auf die Ähnlichkeiten bei den Nutzlasten liefert UPS Varianten des Pirpi-Backdoor-Trojaners aus, die meist sehr ähnlich zueinander sind. Unit 42 hat bei den analysierten Pirpi-Backdoors herausgefunden, dass diese die gleiche Konfigurationsdatei, einen gemeinsamen C2-Kommunikationskanal und einen ähnlichen Command Handler nutzen. Unternehmen können alle diese Überschneidungen und Gemeinsamkeiten nutzen, sich vor diesem fortschrittlichen Gegner zu schützen. Nutzer von AutoFocus unter den Kunden von Palo Alto Networks können Pirpi-Nutzlasten mit dem Pirpi Tag identifizieren. WildFire klassifiziert automatisch Pirpi Samples als bösartig und Palo Alto Networks hat bereits die IPS-Signatur 14643 veröffentlicht, um Pirpi-C2-Kommunikation zu erkennen.
Weitere Informationen zum Thema:
datensicherheit.de, 10.07.2015
Cybersicherheit: Energieunternehmen sehen sich gut gerüstet
datensicherheit.de, 04.12.2014
Palo Alto Networks: Drei große Trends zur Threat-Prevention im Jahr 2015
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren