CactusPete: APT-Gruppe setzt auf Bisonal-Backdoor

kaspersky deckt zielgerichtete Kampagne der Cyber-Spionage-Gruppe CactusPete gegen Finanz- und Militärorganisationen in Osteuropa auf

[datensicherheit.de, 14.08.2020] Mithilfe ihrer „Kaspersky Threat Attribution Engine“ konnten nach eigenen Angaben kaspersky-Forscher „mehr als 300 Samples der Backdoor ,Bisonal‘ mit einer Kampagne der Cyber-Spionage-Gruppe ,CactusPete‘ in Verbindung bringen“. Diese jüngste Kampagne der „APT-Gruppe“ (APT: Advanced Persistent Threat) konzentriert sich demnach auf militärische und finanzielle Ziele in Osteuropa. Wie die verwendete „Backdoor“ auf die Geräte der Opfer kommt, sei noch unklar. Bei „CactusPete“, auch bekannt als „Karma Panda“ oder „Tonto Teaь“, handele es sich um eine Cyber-Spionage-Gruppe, die seit mindestens 2012 aktiv sei. Ihre derzeit eingesetzte „Backdoor“ habe Vertreter des Militär- und Finanzsektors in Osteuropa im Visier, um wahrscheinlich Zugang zu vertraulichen Informationen zu erhalten.

Jüngste CactusPete-Aktivitäten von kaspersky-Forschern erstmals im Februar 2020 bemerkt

Diese jüngsten Aktivitäten der Gruppe sei von kaspersky-Forschern erstmals im Februar 2020 bemerkt worden, als sie eine aktualisierte Version der „Bisonal-Backdoor“ entdeckt hätten. Mithilfe der „Kaspersky Threat Attribution Engine“ – einem Analyse-Tool, um Ähnlichkeiten in Schadcodes von bekannten Bedrohungsakteuren zu finden – habe die „Backdoor“ mit mehr als 300 weiteren, „in the wild“ gefundenen Samples in Verbindung gebracht werden können.
Alle Samples seien zwischen März 2019 und April 2020 entdeckt worden, etwa 20 Samples pro Monat. Das lasse darauf schließen, dass sich „CactusPete“ schnell entwickele. So habe die Gruppe auch ihre Fähigkeiten weiter verfeinert und sich dieses Jahr, 2020, Zugang zu komplexerem Code wie „ShadowPad“ verschafft.

CactusPete offenbar auf der Suche nach hochsensiblen Informationen

„Die Funktionalität des schädlichen Payloads lässt darauf schließen, dass die Gruppe auf der Suche nach hochsensiblen Informationen ist.“ Nach der „Backdoor“-Installation auf dem Gerät des Opfers könne die Gruppe über „Bisonal“ verschiedene Programme unbemerkt starten, Prozesse beenden, Dateien hochladen, herunterladen oder löschen und eine Liste der verfügbaren Laufwerke abrufen.
Sobald die Angreifer tiefer in das infizierte System vorgedrungen sind, komme ein Keylogger zum Einsatz, um Anmeldeinformationen zu sammeln und Malware herunterzuladen, die Berechtigungen und somit schrittweise mehr Kontrolle über das System ermögliche.

In der Vergangenheit setzte CactusPete überwiegend auf Spear-Phishing-Mails

Es sei noch unklar, wie die „Backdoor“ in dieser Kampagne auf das Gerät gelangt. In der Vergangenheit habe „CactusPete“ jedoch überwiegend auf Spear-Phishing-Mails gesetzt, die schädliche Anhänge enthielten, um Geräte zu infizieren.
„,CactusPete‘ ist eine interessante APT-Gruppe, weil sie eigentlich nicht so fortgeschritten ist, auch nicht ihre ,Bisonal-Backdoor‘“, berichtet Konstantin Zykov, Sicherheitsexperte bei kaspersky.

CactusPete nutzt erfolgreich Social Engineering

Ihr Erfolg beruht nicht auf komplexer Technologie oder ausgeklügelten Verteilungs- und Verschleierungstaktiken, sondern auf erfolgreichem „Social Engineering“, erläutert Zykov: „Sie schaffen es, hochrangige Ziele zu infizieren, indem ihre Opfer schädliche Anhänge in Phishing-Mails öffnen.“
Dies sei ein gutes Beispiel dafür, warum Phishing weiterhin eine so effektive Methode zum Starten von Cyber-Angriffen sei und „warum es für Unternehmen so wichtig ist, ihre Mitarbeiter darin zu schulen, wie sie solche E-Mails erkennen und wie sie mittels ,Threat Intelligence‘ über die neueste Bedrohung auf dem Laufenden bleiben können“.

kaspersky-Empfehlungen zum Schutz vor APT-Gruppen wie z.B. CactusPete:

•  Das Team des „Security Operations Center“ (SOC) sollte stets Zugriff auf die neuesten Bedrohungsinformationen haben, um über neue und zukünftige Tools, Techniken und Taktiken, die von Bedrohungsakteuren und Cyber-Kriminellen verwendet werden, auf dem Laufenden zu bleiben.
• Unternehmen sollten eine EDR-Lösung (wie z.B. „Kaspersky Endpoint Detection and Response“) implementieren, um Vorfälle rechtzeitig erkennen, untersuchen und darauf reagieren zu können.
• Mitarbeiter sollten regelmäßig zum Thema Cyber-Sicherheit geschult werden, da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken begännen. Simulierte Phishing-Angriff könnten dabei helfen, die Mitarbeiter zu testen, zu trainieren und auf das Vorgehen von Cyber-Kriminellen aufmerksam zu machen.
•  Etwa mit der „Kaspersky Threat Attribution Engine“ (als ein Beispiel) könnten schädliche Samples schnell mit bekannten Angriffsakteuren verknüpft werden.

Weitere Informationen zum Thema:

kaspersky SECURELIST, Konstantin Zykov, 13.08.2020
CactusPete APT group’s updated Bisonal backdoor / The backdoor was used to target financial and military organizations in Eastern Europe

kaspersky SECURELIST, GreAT, 29.07.2020
APT trends report Q2 2020

datensicherheit.de, 09.07.2020
kaspersky: Neues Geschäftsmodell von Cyber-Kriminellen