Liebesgrüße aus Teheran

Lesezeit
1 Minute
Bis jetzt gelesen

Liebesgrüße aus Teheran

04.05.2023 - 07:15
Veröffentlicht in:

Die Bitdefender Labs haben die Angriffsmethoden der neuen Malwarekampagne BellaCiao analysiert. Die dahintersteckende iranische Charming-Kitten-Gruppe sucht damit zunächst opportunistisch und automatisiert nach Schwachstellen, um dann anspruchsvolle und an die einzelnen Opfer individuell angepasste Malwareattacken zu fahren. Die Ziele greifen sie dann mit einer neuartigen Command-and-Control-Infrastruktur an. Hacker können so Backdoor- und Dropper-Funktionen ausnutzen.

Charming Kitten ist eine vom iranischen Staat unterstützte APT-Gruppe, die mit der Armee der Wächter der Islamischen Revolution (Revolutionsgarde) verknüpft ist. Charming Kitten ist unter IT-Sicherheitsexperten seit 2014 dafür bekannt, die politische Opposition, Aktivisten, Journalisten und einzelne Akteure gegen das Regime anzugreifen. Die Gruppe vertraute hierfür meistens auf Social Engineering oder Spear Phishing, nutzte aber ebenso anspruchsvolle Angriffsmethoden wie den vorgetäuschten Auftritt als bekannte Forscher oder Aktivisten. Seit 2021 treten die Revolutionsgarden und die mit ihnen verbundenen APT-Gruppen zunehmend aggressiver auf.

Die Mitglieder der Charming-Kitten-Gruppe nutzen mit BellaCiao eine neue Art und Weise, ihre Befehle vom CC-Server auf den bestehenden Endpunkt auszuspielen. Dafür fordert BellaCiao die betroffenen Systeme auf, alle 24 Stunden eine DNS-Anfrage in ihrem Namen zu starten. Der von den Hackern kontrollierte DNS-Server sendet dann eine aufgelöste IP-Adresse zu, die mit der tatsächlichen öffentlichen IP-Adresse fast übereinstimmt. Der Command-and-Control-Server sendet seine Kommandos über einen hartkodierten String, anstatt über herkömmliche Downloads. Das weitere Vorgehen der Malware ist als legitimer IT-Prozess getarnt. Der String ist für jedes angegriffene Unternehmen individuell festgelegt nach dem Muster:

<2 random uppercase letters><3 random lowercase letters><victim specific subdomain>.<C2 domain>

Alle von Bitdefender beobachteten Samples beinhalten PDB-Pfade. PDB (Program DataBase) ist ein Dateiformat für Microsoft Visual Studio und speichert Debugging-Informaionen über eine ausführbare oder eine DLL-Datei. In den Pfaden befinden sich dann nach Ländern geordnet die Informationen für die Attacken auf jeden einzelnen Kunden. Auf den persistenten Einbruch ins Opfernetz folgen die gezielten Angriffe. Hacker können dann zahlreiche Aktionen ausführen, wie etwa den Microsoft Defender deaktivieren oder Passwortinformationen erbeuten. Eine Variante von BellaCiao implementiert das Plink-Kommandozeilentool für eine Reverse-Proxy-Verbindung zum Command-and-Control-Server. In der Folge können Hacker mit der PowerShell, Befehle und Skripte ausführen, Dateien hoch- oder herunterladen oder die Tätigkeit eines Webservers beenden. Die Bitdefender-Experten rechnen zudem mit Attacken auf Microsoft-Exchange-Server.

Als Abwehrmaßnahmen gegen solche hybride Attacken empfiehlt sich vor allem das konsequente Patchen bekannter Schwachstellen. Werden solche bekannt, sollte jedes Unternehmen davon ausgehen, dass die Hacker ebenfalls einem solchen Hinweis nachgehen. Ebenso wichtig ist die Reduktion der Angriffsfläche, proaktive Erkennung and Abwehr sowie eine Threat Intelligence basierend auf IP-, Domain- und URL-Reputation. Individuell modifizierte Attacken erkennen die Sicherheitsexperten in einem Security Operation Center. Den vollständigen Report von Bitdefender finden Sie hier.

Ähnliche Beiträge

15 Jahre Betrug und kein bisschen leise

Qakbot ist ein Trojaner mit einer mittlerweile 15jährigen Evolutionsgeschichte. Kürzlich haben die Sicherheitsforscher von Zscaler festgestellt, dass die Bedrohungsakteure ihre Codebasis aktualisiert haben, um 64-Bit-Versionen von Windows zu angreifbar zu machen. Zudem haben sie die Verschlüsselungsalgorithmen verbessert – ein Paradebeispiel für den Wandel einer resilienten, persistenten und innovativen Malware.

Download der Woche: Qubes OS

Wenn Sie als Admin den Cyberkriminellen stets eine Nasenlänge voraus sein wollen, sollten Sie für Ihren eigenen Rechner nicht unbedingt auf Windows setzen. Mögliche Alternative: das freie Betriebsystem "Qubes OS", das auf Linux und dem Xen-Hypervisor basiert. Das von Experten aus dem Hackerumfeld entwickelte Projekt gliedert alle laufenden Prozesse in eigene, voneinander getrennte virtuelle Maschinen aus.

Download der Woche: OPSWAT Security Score

Ein gelegentlicher Sicherheitscheck kann nie schaden. Mit dem kostenfreien Tool "Opswat Security Score" steht eine Software zur Verfügung, die einen schnellen Überblick zum Status eines Windows- oder macOS-Rechners in Sachen Security-Konfiguration gibt. Zunächst scannt das Werkzeug den PC ohne Installation auf den Updatestatus sowie installierte Programme und gibt dann eine übersichtliche Grafik aus.