Gezielte Angriffe per Skript

Gezielte Angriffe auf Unternehmen und Organisationen stehen auf der Agenda der OilRig-Akteure. In den letzten Wochen hat die Gruppe laut Palo Alto Networks ihre Clayslide-Malware-Dokumente für die Auslieferung aktualisiert und die Helminth-Backdoor gegen Opfer eingesetzt. Darüber hinaus wurde das Spektrum der ins Visier genommenen Organisationen offensichtlich gezielt erweitert.

OilRig soll für gezielte Angriffe auf Unternehmen und Organisationen weltweit verantwortlich sein.

Die Angreifer hinter der OilRig-Kampagne nutzt laut Palo Alto Networks [1] weiterhin Spear-Phishing-E-Mails mit bösartigen Excel-Dokumenten, um die Opfer zu kompromittieren. So sei etwa eine E-Mail an eine Regierungsbehörde verschickt worden mit vorgeblichen neuen Portal-Logins für die Website einer Fluggesellschaft. Anfang des Jahres seien mehrere Unternehmen Ziele von Spear-Phishing-Angriffen geworden. In diesen Fällen seien die Dokumente, die bösartigen Makrocode enthielten, sehr spezifisch angepasst worden. Teilweise wurden als Absender Partnerfirmen verwendet, die bereits eine Beziehung mit dem jeweiligen Empfänger hatten.



In den letzten Monaten haben die Forscher von Palo Alto Networks offenbar eine Reihe von Änderungen an der von den Oilrig-Akteuren verwendeten Malware entdeckt. So wurden vier verschiedene Varianten identifiziert, die bei der Ausführung jeweils unterschiedliche Dateinamen einsetzten. Die Akteure nutzen demnach VBS für die Kommunikation mit Remote-Servern über HTTP. VBS oder VBScript steht für Visual Basic Script und ist eine von Microsoft entwickelte Skriptsprache. Das Skript versuche wiederholt, eine Datei aus dem Remote-Server herunterzuladen, und führt sie dann aus, wenn sie verfügbar ist.



Angriff via PowerShell

Es würde zudem auch ein PowerShell-Skript ausgeführt, das mittels der Clayslide-Excel-Dokumente eingeschleust wird. Insgesamt gebe es geringfügige Unterschiede zwischen den beobachteten Malware-Varianten, die bei der OilRig-Kampagne zum Einsatz kämen. Die Hauptunterschiede lägen in den verwendeten Domains und IP-Adressen. Bei der beobachteten Excel-Datei, die die Skriptdatei upd.vbs im System des Opfers hinterließen, sei ein besonders interessantes Merkmal die IP-Adresse, die Verbindungen zur Remexi-Backdoor habe. Dies stimme mit früheren Anzeichen überein, dass auf Akteure aus dem Iran hindeutet, die hinter diesen Angriffen steckten.



Palo Alto Networks konnte zudem eine Reihe von interessanten Befehlen beobachten, die von den Angreifern stammen sollen, einschließlich Versuchen mit Remote-FTP-Servern zu kommunizieren und verschiedenen Befehlen zum Ausspionieren. Diese Befehle seien in scheinbar zufälligen Intervallen angekommen, sodass sie wahrscheinlich tatsächlich von den Angreifern ausgeführt würden und nicht von einem automatisierten System.



Die OilRig-Akteure, die sich die Malware-Familien Helminth und Clayslide zunutze machen, wählen als Angriffsziele weiterhin verschiedene hochrangige Unternehmen und Organisationen auf der ganzen Welt. Diese würden mit maßgeschneiderter Malware angegriffen, die aktiv weiterentwickelt, aktualisiert und verbessert werde. Während der Einsatz dieser Malware nicht sehr anspruchsvoll sei, würden Techniken wie DNS Command & Control (C2) verwendet, die es erlauben sollen, in vielen Organisationen und Unternehmen unter dem Radar zu agieren.