Aktuelles - geschrieben von cp am Freitag, Oktober 26, 2018 23:55 - noch keine Kommentare
Cobalt Gang nimmt Banken und Finanzdienstleister mit simpler Angriffstaktik ins Visier
Sicherheitsanalysten setzen neue Techniken ein, um die von den Angreifern genutzten „Commodity“-Builder und -Tools sowie deren Infrastrukturen aufzudecken
[datensicherheit.de, 26.10.2018] Dem IT-Sicherheitsanbieter Palo Alto Networks ist es gelungen, die jüngsten Aktivitäten der bereits mehrfach in Erscheinung getretenen cyberkriminellen Cobalt Gang ans Licht zu bringen. Ausgehend von schädlichen Makros sowie spezifischen Signalen, die das Forscherteam in den Metadaten von manipulierten PDF-Dokumenten fand, war es möglich, TTPs (Taktiken, Techniken und Prozeduren) sowie Cluster-Infrastrukturen zu identifizieren, die aufgrund mehrerer Überschneidungen den Aktivitäten der Cobalt Gang zugeordnet werden konnten.
Heutzutage ist es für Angreifer mit fortgeschrittenen Fähigkeiten sehr einfach, problemlos verfügbare Commodity-Tools und -Malware einzusetzen. In Kombination mit sehr einfachen Methoden zur Erstauslieferung gelingt es den Angreifern, sich unauffällig zu verhalten und einer möglichen Erkennung zu entgehen. Einer der häufigsten Ansätze ist die Verwendung von Speer-Phishing-E-Mails und Social Engineering, um die Mitarbeiter von Unternehmen zu täuschen und deren Interesse zu wecken. Ebenso kommen häufig verwendete Exploits (z.B. CVE-2017-0199) zum Einsatz. Sobald die erste Infektion aufgetreten ist, gehen die Angreifer ausgefeilter vor, indem sie benutzerdefinierte Malware und fortschrittlichere Tools einsetzen.
Dieser Ansatz erschwert es Bedrohungsjägern und Netzwerkverteidigern, die Nadeln im Heuhaufen zu finden, die notwendig sind, um eine Kampagne und ihre Ziele zu identifizieren. Doch selbst wenn ein Angreifer Commodity-Builder und -Tools einsetzt, besteht immer die Möglichkeit, bestimmte Signale oder Merkmale zu finden, die helfen, die Infrastruktur eines Akteurs zu identifizieren und zu verfolgen. Eine der Gruppen, die dafür bekannt ist, ihren TTP-Fingerabdruck stets beizubehalten, ist die Cobalt Gang, die auch nach der Verhaftung ihres mutmaßlichen Anführers in Spanien in diesem Jahr nach wie vor noch aktiv ist.
In den letzten Wochen untersuchte Palo Alto Networks laufende Kampagnen der Cobalt Gang und nutzte die neuesten Informationen, die in Forschungsberichten veröffentlicht wurden, um die Entdeckung und Zuweisung neuer Infrastrukturen zu dieser Gruppe voranzutreiben. Infolgedessen konnte Palo Alto Networks obwohl die Verwendung eines gängigen Makro-Builders als auch spezifische Dokumenten-Metadaten identifizieren. Diese Hinweise haben es ermöglicht, Aktivitäten und Infrastrukturen im Zusammenhang mit der Cobalt Gang zu verfolgen und zu bündeln.
Eines der jüngsten Beispiele im Rahmen der Analyse der Kampagne zeigt die Einfachheit der von dieser Gruppe durchgeführten Angriffe. So wurden Mitarbeiter mehrerer Bankinstitute auf der ganzen Welt mit einer E-Mail mit dem Betreff „Confirmations on October 16, 2018“ adressiert. Dies untermauert die Tatsache, dass E-Mail immer noch einer der wichtigsten Angriffsvektoren ist, den die Forscher ständig beobachten.
Der Anhang ist nur ein PDF-Dokument ohne jede Art von Code oder Exploit, stattdessen setzen die Akteure auf Social Engineering und versuchen, den Benutzer über einen Link zum Herunterladen des bösartigen Makros zu bewegen. Zum Schutz vor statischen Analysetools sind eine leere com-Seite sowie einige Textseiten enthalten, die helfen, während der Analyse keine roten Flaggen zu provozieren, indem etwas Authentizität hinzugefügt wird. So kann die Erkennung durch herkömmliche Anti-Viren-Software vermieden werden, woraus in der ersten Angriffsstufe ein sehr effektiver Transport per E-Mail resultiert.
Das heruntergeladene schädliche Makro verwendet cmstp.exe, um ein „Scriptlet“ auszuführen, eine Technik, die bekannt dafür ist, AppLocker zu umgehen, und fährt mit den nächsten Schritten der Nutzlastzustellung fort. Das Ziel der jüngsten Forschungsaktivitäten war nicht die Nutzlastanalyse. Die Forscher konzentrierten sich stattdessen auf alle möglichen Aspekte der Angriffsdurchführung zur weiteren Verfolgung der Kampagne und der damit verbundenen Infrastruktur.
Wie die Analyse ergab, führt die Verwendung einer Standard-PDF-Datei mit einem eingebetteten Google-Redirect-Link zu einem sehr effektiven Social-Engineering-Angriff. Diese sogenannten Commodity-Angriffe werden häufig auch für gezieltere Angriffe eingesetzt, da sie die Identifizierung für Netzwerkverteidiger und Bedrohungsjäger erschweren. Durch die Fokussierung auf spezifische Aspekte der Makro-Builder und die Metadaten, die die Angreifer hinterlassen, können Bedrohungsjäger dennoch Mechanismen zur Verfolgung der Aktivitäten und Infrastruktur des Hackers heranziehen.
Weitere Informationen zum Thema:
Palo Alto Networks Blog
New Techniques to Uncover and Attribute Cobalt Gang Commodity Builders and Infrastructure Revealed
datensicherheit.de, 06.12.2017
Studie von Palo Alto Networks: IT-Manager im Gesundheitswesen setzen auf Cyber-Sicherheit
datensicherheit.de, 18.11.2017
EU-DSGVO: Palo Alto Networks untersuchte Kommunikationsprobleme in Unternehmen
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 22, 2024 18:42 - noch keine Kommentare
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
weitere Beiträge in Branche
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren