Meldung

Schwer erkennbarer polymorpher Schadcode

Der APT-Akteur "Cloud Atlas", auch bekannt als "Inception", hat sein Angriffsarsenal mit neuen Tools erweitert: mit einer HTML-Anwendung und dem VBShower-Modul, die beide polymorph sind. Das verhindert eine Erkennung durch klassische Indicators of Compromise.
Cloud Atlas wurde laut Kaspersky Labs [1] erstmals im Jahr 2014 identifiziert und hatte unter anderem Unternehmen aus der Industrie sowie Regierungsbehörden im Visier. Nach einer aktuellen Kaspersky-Analyse gehören zu den neuesten Zielen unter anderem die internationale Wirtschafts- und Luftfahrtindustrie sowie Regierungs- und religiöse Organisationen in Portugal, Rumänien, der Türkei, der Ukraine, Russland, Turkmenistan, Afghanistan und Kirgisistan.

Bei erfolgreicher Infiltration kann Cloud Atlas Informationen über das infiltrierte System sammeln, Kennwörter protokollieren und aktuelle .txt-, .pdf- und XLS-DOC-Dateien an einen Befehls- und Steuerungsserver senden.

Während Cloud Atlas seine Taktik seit dem Jahr 2018 nicht allzu sehr verändert hat, zeigen aktuelle Untersuchungen, dass es eine neuartige Methode zur Infektion der Opfer gibt und sich die Cyberkriminellen mittels Lateral Movement durch die Netzwerke bewegen; das heißt, die Angreifer versuchen mittels nicht sensibler Konten Zugriff auf sensible Konten zu bekommen.

Komplexe Infektionskette

Bisher hatte Cloud Atlas zunächst eine Spear-Phishing-E-Mail mit einem schädlichen Anhang an ein Ziel gesendet. Öffnete das Opfer den Anhang, wurde die Malware PowerShower gestartet, die zunächst zum Ausspähen und zum Nachladen weiterer schädlicher Module ausgeführt wurde, um weitere Aktionen der Cyberkriminellen zu ermöglichen.

Die neue Infektionskette verschiebt die Ausführung von PowerShower auf einen späteren Zeitpunkt. Stattdessen wird nach der Erstinfektion eine schädliche HTML-Anwendung heruntergeladen und auf dem Zielcomputer ausgeführt. Diese sammelt erste Informationen über den angegriffenen Computer und lädt VBShower, ein weiteres schädliches Modul, herunter und führt es aus.

VBShower löscht dann Hinweise auf das Vorhandensein von Malware im System und konsultiert die Angreifer über Command-and-Control-Server, um über weitere Aktionen zu entscheiden. Je nach Befehl lädt diese Malware entweder PowerShower oder die Backdoor einer anderen bekannten zweiten Stufe von Cloud Atlas herunter und führt sie aus.

Während diese neue Infektionskette viel komplizierter ist als das Vorgängermodell, ist das Hauptunterscheidungsmerkmal, dass die schädliche HTML-Anwendung und das VBShower-Modul polymorph sind: der Code ist in beiden Modulen in jedem Infektionsfall neu und individuell. Laut Kaspersky-Experten soll die Malware so für Sicherheitslösungen unsichtbar gemacht werden, die sich auf bekannte Kompromittieriungsindikatoren (IoC) stützen.

Indicators of Compromise überholt

„In der Sicherheitsbranche hat es sich bewährt, die Indicators of Compromise von schädlichen Aktionen, die wir in Forschungen ermitteln, mit anderen zu teilen“, sagt Felix Aime, Sicherheitsforscher im Kaspersky Global Research and Analysis Team (GReAT).

Dies ermögliche es, schnell auf laufende internationale Cyberspionageoperationen zu reagieren und weiteren Schaden zu vermeiden. Doch scheinen IoC als zuverlässiges Tool zur Erkennung zielgerichteter Angriffe im Netzwerk überholt. Das bedeute nicht, dass es schwieriger würde, Akteure zu fassen zu kriegen, aber dass sich die Sicherheitskompetenzen und das Toolkit zur Verteidigung weiterentwickeln müssten – so wie es die Angreifer eben auch täten.
13.08.2019/dr

Tipps & Tools

Download der Woche: BCArchive [6.08.2019]

Mit der weiter zunehmenden Anzahl an Cyberattacken sollten auch Admins ihre Daten bestmöglich schützen. "BCArchive" ist ein kostenfreies Tool zum Erstellen von passwortgeschützten Archiven, das auch die Nutzung von öffentlichen Schlüsseln unterstützt. Weiterhin besteht die Option, ein selbstextrahierendes Archiv anzulegen, das sich ohne Datenkompressionssoftware entpacken lässt. [mehr]

Sichere Testumgebung für Beta-Software [28.07.2019]

Einige Software-Unternehmen benutzen Parallels Desktop Business auf ihren Macs, um unter anderem Beta-Versionen in einer virtuellen Windows-Umgebung zu testen. Dafür ist sowohl auf dem Mac-Betriebssystem wie auch auf der virtuellen Maschine ein ausreichender Schutz vor Schadsoftware erforderlich. Dieser Tipp zeigt Ihnen, was Sie außerdem tun können, um eine sichere Testumgebung zu gewährleisten. [mehr]

Fachartikel

Multifaktor-Authentifizierung in Azure AD (2) [19.08.2019]

Mit der zunehmenden Nutzung von Cloudanwendungen sowie der Azure-AD-Identity-Plattform wächst für Unternehmen die Dringlichkeit, Anmeldungen und die Konten von Benutzern zu schützen. Microsoft stellt dafür eine Multifaktor-Authentifizierung zur Verfügung. Dabei lassen sich auch die Smartphones der Mitarbeiter bequem via App nutzen. Wie Sie Anmeldung und Konten in der Microsoft-Cloud dank zweitem Faktor schützen, lesen Sie in diesem Beitrag. Im zweiten Teil zeigen wir, wie Sie das Benutzer-Enrollment durchführen und die MFA-Optionen ändern. [mehr]

Buchbesprechung

Anzeigen