Meldung

Raffinierte Angriffe auf deutsche Unternehmen

Der APT-Akteur DeathStalker bietet jetzt vermutlich Hacking-for-Hire-Dienste an, um vertrauliche Geschäftsinformationen von Unternehmen im Finanz- und Rechtssektor zu stehlen. Experten von Kaspersky haben neue Aktivitäten des Akteurs ausmachen können und eine neue Malware-Implantations- und Bereitstellungstaktik entdeckt.
Die Backdoor "PowerPepper" nutzt demnach DNS über HTTPS als Kommunikationskanal, um die Kommunikation hinter legitimen Kontrollservernamenabfragen zu verstecken. Darüber hinaus verwendet PowerPepper verschiedene Verschleierungstechniken wie Steganographie.

Bei DeathStalker handelt es sich laut Kaspersky [1] um einen sehr ungewöhnlichen APT-Akteur. Die seit mindestens 2012 aktive Gruppe führt Spionagekampagnen gegen kleine und mittlere Unternehmen wie Anwaltskanzleien oder Vertretungen des Finanzsektors durch [2]. Im Gegensatz zu anderen APT-Gruppen scheint DeathStalker nicht politisch motiviert zu sein oder finanziellen Gewinn durch die angegriffenen Unternehmen erzielen zu wollen. Die Hintermänner agieren vielmehr als Söldner und bieten ihre Hacking-Dienste gegen Bezahlung an.

Kaspersky-Forscher haben nun eine neue schädliche Kampagne der Gruppe, mit der Backdoor PowerPepper, aufgedeckt. Wie andere Malware von DeathStalker wird PowerPepper üblicherweise über Spear-Phishing-Mails verbreitet, wobei die schädlichen Dateien über den E-Mail-Text oder innerhalb eines maliziösen Links übermittelt werden. Dazu hat die Gruppe internationale Ereignisse, Vorschriften zu CO2-Emissionen oder auch die Corona-Pandemie genutzt, um ihre Opfer dazu zu bringen, die schädlichen Dokumente zu öffnen.

Getarnt mittels Steganografie
Die schädliche Haupt-Payload wird mithilfe von Steganografie getarnt, womit die Angreifer Daten inmitten legitimer Inhalte verstecken können. Im Fall von PowerPepper wird der Schadcode in scheinbar normalen Bildern von Farnen oder Paprika (vgl. English "pepper" zur Namensgebung) eingebettet und dann von einem Loader-Skript extrahiert. Danach beginnt PowerPepper mit der Ausführung von Remote-Shell-Befehlen, die sie von den DeathStalker-Akteuren erhält und die darauf abzielen, vertrauliche Geschäftsinformationen zu entwenden.

Die Malware kann jeden Shell-Befehl auf dem Zielsystem ausführen, einschließlich solcher für die standardisierte Data Reconnaissance, wie das Sammeln von Nutzer- und Dateiinformationen des Computers, das Durchsuchen von Netzwerkdateifreigaben und das Herunterladen zusätzlicher Binärdateien oder das Kopieren von Inhalten an remote Speicherorte. Die Befehle werden vom Kontrollserver mittels DNS über HTTPS-Kommunikation abgerufen - eine effektive Methode, um schädliche Kommunikation hinter legitimen Servernamenabfragen zu verstecken.

In Word versteckte Skripte
Die Verwendung von Steganographie ist dabei nur eine von mehreren Verschleierungs- und Umgehungstechniken. Der Loader ist als Überprüfungstool von GlobalSign, einem Anbieter von Identitätsdiensten, getarnt und nutzt eine individuelle Verschleierung. Außerdem sind Teile des schädlichen Übermittlungsskripts in in Word eingebetteten Objekten versteckt. Darüber hinaus wird die Kommunikation mit dem Implantat und den Servern verschlüsselt. Aufgrund der Verwendung vertrauenswürdiger, signierter Skripte erkennen Antivirenlösungen das Implantat beim Start nicht zwingend als schädlich.

PowerPepper wurde vor allem in Europa, aber auch in Amerika und Asien bei Angriffen eingesetzt. Durch Analyse der genutzten IPs lässt sich PowerPepper unter anderem in Deutschland, Schweden, der Schweiz und Dänemark nachweisen. Die bisherigen Kampagnen von DeathStalker richteten sich hauptsächlich gegen Rechtsberatungsfirmen und Finanz- oder Kryptowährungsdienstleister.

"PowerPepper beweist einmal mehr, dass DeathStalker ein kreativer Bedrohungsakteur ist", kommentiert Pierre Delcher, Sicherheitsexperte bei Kaspersky. "Dieser Akteur ist in der Lage, in kurzer Zeit konsequent neue Implantate und Werkzeugketten zu entwickeln. PowerPepper ist bereits der vierte Malware-Stamm, der dem Akteur zugeschrieben werden kann und wir haben möglicherweise einen fünften Stamm entdeckt.

Obwohl sie nicht besonders ausgefeilt sind, hat sich die Malware von DeathStalker als recht effektiv erwiesen. Das liegt möglicherweise daran, dass ihre Hauptziele kleine und mittlere Unternehmen sind, also Organisationen, die tendenziell weniger robuste Sicherheitsprogramme einsetzen. Wir erwarten, dass DeathStalker weiterhin aktiv bleibt und werden seine Aktivitäten weiterhin überwachen."
3.12.2020/dr

Tipps & Tools

Vorschau Februar 2021: Sichere Virtualisierung [18.01.2021]

Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet IT-Administrator den Themenschwerpunkt "Sichere Virtualisierung". Darin erfahren Sie, auf welchen Wegen Sie Ihre Hyper-V-Umgebung schützen und Backups ihrer virtuellen Umgebungen erstellen. Außerdem lesen Sie im Februar, was die Cybersicherheitsagentur ENISA in Sachen sichere Virtualisierung vorgibt und wie Sie Befehle in Kubernetes mit StatusBay analysieren, bevor diese zur Anwendung kommen. In den Tests werfen wir unter anderem einen Blick auf die Veeam Availability Suite. [mehr]

Red Team Services verbessern die IT-Sicherheit [14.01.2021]

Red Team Services unterstützen Unternehmen durch Angriffssimulationen bei der Ermittlung von Sicherheitsschwachstellen. Organisationen können damit nicht nur feststellen, wie effektiv ihre bisher getroffenen Schutzmaßnahmen sind, sondern auch wie anfällig sie im Gesamtsystem für einen Angriff sind. Auf dieser Informationsbasis sind IT-Verantwortliche in der Lage, Verbesserungsmöglichkeiten zu identifizieren und konkrete Sicherheitsverfahren und -maßnahmen zu evaluieren, mit denen sie die Sicherheit nachhaltig erhöhen können. [mehr]

Fachartikel

Schatten-IT in der Teamkommunikation vermeiden [6.01.2021]

In Zeiten des mobilen Arbeitens und zunehmender Cyberkriminalität wird es immer wichtiger, dass Unternehmen potenzielle IT-Sicherheitslücken in der eigenen IT-Landschaft schließen. Die Crux: Aufgrund fehlender Lösungen greifen Mitarbeiter auf unautorisierte Consumer-Apps zurück, etwa WhatsApp. Eine derartige Schatten-IT gefährdet aber die Datensicherheit. Der Beitrag gibt sieben Tipps, wie IT-Administratoren die Teamkommunikation sicher gestalten und was bei der Auswahl entsprechender Werkzeuge zu beachten ist. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen