Cybereason: Neue Malware missbraucht facebook und Dropbox

Bislang unbekannte Malware-Varianten im Nahen Osten für Spionage eingesetzt

[datensicherheit.de, 09.12.2020] Cybereason hat nach eigenen Angaben eine aktive Spionage-Aktion identifiziert, die demnach drei bislang unbekannte Malware-Varianten einsetzt. Die aktuell aufgedeckte Operation nutze „facebook“, „Dropbox“, „Google Docs“ und „Simplenote“, um über einen Command-and-Control-Server direkten Zugriff auf die Computer der Opfer zu erlangen und vertrauliche Daten abzuziehen.

Neue Malware idenifiziert: Backdoors SharpStage und Dropbook sowie Downloader MoleNet

Cybereason führt die Spionagekampagne auf „Molerats“ (auch als „The Gaza Cybergang“ bekannt) zurück: Eine arabisch-sprachige, politisch motivierte APT-Gruppe (Advanced Persistent Threat), die seit 2012 im Nahen Osten aktiv sei. Anfang 2020 hätten Cybereason-Forscher bereits über die Entdeckung der zuvor unbekannten „Spark“- und „Pierogi“-Hintertüren berichtet, welche als Teil eines gezielten Angriffs von „Molerats“ auf palästinensische Beamte gewertet worden sei.
Die jüngste Aktion setze zwei bislang unbekannte Backdoors namens „SharpStage“ und „Dropbook“ sowie einen Downloader namens „MoleNet“ ein. Diese Kampagne nutze Phishing-Dokumente, welche verschiedene Themen im Zusammenhang mit aktuellen Ereignissen im Nahen Osten behandele – darunter ein angeblich geheimes Treffen zwischen seiner Königlichen Hoheit Mohammed bin Salman, Kronprinz von Saudi-Arabien, dem US-Außenminister, Mike Pompeo, und dem israelischen Premierminister, Benjamin Netanjahu.

Wichtigste Cybereason-Erkenntnisse zu neuen Malware-Varianten:

• Neue Spionage-Tools entwickelt von „Molerats“
  Cybereason habe mit „SharpStage“ und „DropBook“ zwei neuen Backdoors sowie den „MoleNet“-Downloader identifiziert. Diese ermöglichten es den Angreifern, beliebigen Code auszuführen und vertrauliche Daten auf infizierten Computern zu sammeln und abzuziehen.
• Missbrauch von „facebook“, „Google Docs“, „Dropbox“ und „Simplenote“
  Die neuentdeckte „DropBook“-Backdoor verwende gefälschte „facebook“-Konten oder „Simplenote“ zur Steuerung und Kontrolle anderer Server. Demgegenüber missbrauchten „SharpStage“ und „DropBook“ einen „Dropbox“-Kunden, um gestohlene Daten zu übertragen und ihre Spionage-Tools zu speichern.
• Politische Phishing-Themen
  E-Mails, mit denen die Opfer angelockt worden seien, hätten sich unter anderem mit den israelisch-saudischen Beziehungen, den Hamas-Wahlen, mit Nachrichten zu palästinensischen Politikern und anderen regionalen Ereignissen beschäftigt (darunter ein geheimes Treffen zwischen dem Kronprinzen von Saudi-Arabien, dem US-Außenminister und dem israelischen Premierminister).
• Verbindungen zu früheren Nahost-Kampagnen
  Die neuentdeckten, schon in der Vergangenheit „Molerats“ zugeschriebenen Backdoors seien in Verbindung mit der „Spark“-Backdoor verwendet worden. Die Angreifer hätten diese neuen Spionage-Tools auch genutzt, um zusätzliche Payloads herunterzuladen: Darunter die berüchtigte, zuvor von „Molerats“ verwendete „Open-Source-Quasar RAT“.
• Auf den gesamten Nahen Osten ausgerichtet
  Der Angriff sei hauptsächlich in den Palästinensischen Gebieten, den Vereinigten Arabischen Emiraten, Ägypten und der Türkei beobachtet worden. Angesichts der Art der Phishing-Inhalte gehe Cybereason davon aus, „dass die Zielgruppe aus hochrangigen politischen Persönlichkeiten und Regierungsbeamten im Nahen Osten besteht“.

Politisch brisante Ereignisse als Aufhänger für Malware-Infektionen und Phishing-Kampagnen

„Wenig überraschend ist, wie Bedrohungsakteure politisch brisante Ereignisse ausnutzen, um ihre Phishing-Kampagnen anzuheizen. Aber es ist besorgniserregend, dass Soziale Medien zunehmend für Command-and-Control-Anweisungen und andere legitime Cloud-Dienste für Data-Extrusion-Aktivitäten missbraucht werden“, so Lior Div, Mitgründer und „CEO“ von Cybereason.
Für die Seite der Verteidiger bedeute dies, in Bezug auf potenziell schädlichen Netzwerkverkehr in Verbindung mit legitimen Services besonders achtsam zu sein. Verschleierte Angriffe dieser Art ließen sich ohne den nötigen Kontext nicht erkennen. Deshalb versetze Cybereason Sicherheitsexperten in die Lage, betriebs-zentriert anstatt alarm-zentriert zu arbeiten. Div: „Das erlaubt, Beziehungen zwischen scheinbar beziehungslosen Vorkommnissen im Netzwerk und darüber hinaus herzustellen.“

Weitere Informationen zum Thema:

datensicherheit.de, 04.10.2019
Ransomware-Attacken: FBI gibt seltene Warnung heraus

cybereason, 09.12.2020
New Malware Arsenal Abusing Cloud Platforms in Middle East Espionage Campaign