:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Gezielte Angriffe und funktionaler Malware-Code Ein Blick auf die DownEx-Malware-Kampagne
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/31600/31631/65.jpg "Bitdefender_web.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Hacker optimieren ihre Angriffe heute ständig weiter. Ein Blick auf die von ihnen entwickelten Konzepte ist nötig, weil auch Unternehmen und Anbieter kritischer Infrastrukturen potenzielle Opfer von komplexen Attacken sind, wenn diese erst einmal Serienreife erlangen. Die DownEx-Malware-Kampagne ist ein Beispiel, wie anspruchsvoll Hacker ihre Malware-Tools entwickeln und gezielte Angriffe durchführen.
Die Bitdefender Labs entdeckten DownEx Ende 2022. Ziel des Angriffes waren ausländische Regierungseinrichtungen in Kasachstan, von denen die Hacker Informationen erbeuten wollten. Schon die am Anfang stehende Spear-Phishing-Kampagne zeigte, wie zielgruppengerecht die Angreifer vorgingen. Sie gaben sich als real existierende Diplomaten aus. Die Kenntnis der möglichen Empfängeropfer deutet auf eine mit staatlicher Hilfe agierende Gruppe hin. Einem bestimmten Akteur ließen sich die Attacken jedoch nicht zuordnen. Ein Hinweis auf den Ursprung der Täter ist die gerade in russischsprachigen Ländern verbreitete gekrackte zweisprachige Version von Microsoft Office 2016 „SPecialisST RePack" oder „Russian RePack by SPecialiST". Auch die Tatsache, dass die Cyberkriminellen eine Backdoor in zwei Sprachen verfassten, deutet in dieselbe geographische Richtung: Eine solche Praxis ist bekannt von der aus Russland agierenden Gruppe APT28 und ihrer Backdoor Zebrocy. Zuschreibbar bewiesen ist dieser Hinweis allerdings nicht.
Social Engineering für die gezielte Suche nach Adressaten
Die von den Hackern geleisteten Social-Engineering-Vorarbeiten bleiben im Unklaren. Klar ist nur, dass auch 2023 am Anfang der komplexen Attacke häufig immer noch ein Phishing steht. Während die Täter den Adressatenkreis wahrscheinlich dank ihrer Kontakte recherchiert hatten und den für sie relevanten Content lieferten, bildete den Auftakt der komplexen Attacke – wie so häufig – eine ganz einfache E-Mail. Die Verfasser der Spear-Phishing-E-Mail nutzten eine relativ einfache Tarnung einer ausführbaren Datei mit einer Icon- und einer .docx-Dateien. Einzige Tarnung: Die angehängte Datei "! to <redacted> embassy kazakh 2022.exe wies keine doppelte Dateierweiterung auf. Eine solche Endung erkennen Cybersysteme üblicherweise als verdächtige Praxis.
Die ausführbare Datei extrahiert zwei Daten: Ein Word-Dokument ist unauffällig und scheint lediglich dazu zu dienen, dass das Opfer keinen Verdacht schöpft, während das eigentliche Skript im Hintergrund läuft.
Bei der zweiten Datei handelte es sich um eine HTA-Datei (HTML Application). Auch sie präsentierte sich zur Tarnung ohne die herkömmliche Erweiterung. Die in ihr eingebetteten VBscript-, HTML-, CSS- oder JavaScript-Codes lassen sich als eigenständige Anwendung auf einem Windows-Betriebssystem ausführen.
Command-and-Control-(C2)-Aufgabenverteilung
Um eine Kommunikationsschleife mit der C2-Infrastruktur aufzubauen, verwendeten die Bedrohungsakteure die Python-basierte Backdoor help.py. Deren getarntes Skript ließ sich nur schwer analysieren: Das Python-basierte Python-Verschleierungstool PyArmor schützt Skripte vor Reverse Engineering und Manipulationen. Auch das zugehörige kompilierte Modul Pytransform.pyd (im Grunde eine DLL-Datei, die von einem Python-Skript verwendet wird), schützten die Angreifer vor Reverse Engineering durch das Software-Schutzprogramm Themida. Zudem nutzten die Angreifer auch weitere Verschleierungstechniken, einschließlich der Mischung von Operation Code.
In der Folge erzeugte help.py auf dem Opfer-System ein Public/Private RSA-Schlüsselpaar von einer Länge von 2048 Bit. Den öffentliche Schlüssel erhielt der Command-and-Control-Server mittels POST-Methode mit den folgenden Schlüssel-Wert-Paaren mitgeteilt. Der zentrale Command-and-Control-Server antwortete mit einem gültigen Python-Code, um die Client-ID für das Opfersystem als permanente ID einzurichten.
In der Folge übermittelt der C2-Server dann spezifischen Aufgaben, die auf dem kompromittierten Rechner auszuführen waren. Die Aufgaben zur Datenexfiltration erhielten eine einheitliche Identifikationsnummer. Dabei handelt es sich offenbar um einen inkrementellen und globaler Wert für alle Opfer der Kampagne. Die höchste von den Sicherheitsforschern ermittelte Aufgaben-ID lautete 115880. Damit ist davon auszugehen, dass die Cyberkriminellen über 100.000 Aufgaben an Opfer sendeten.
Beim Beobachten der konkreten Attacke konnten die Sicherheitsexperten vier Aufgaben beobachten, die für sich genommen bereits ein grundlegendes Arsenal zur Exfiltration abbilden:
- A3 - DOWNLOAD_LIST: Exfiltrieren von Dateien mit bestimmten Erweiterungen aus einem Verzeichnis. Diese Aufgabe ruft nur Dateien ab, die in den letzten N Tagen geändert wurden. N ist dabei ein fest kodierter Wert. Die Aufgabe sendet die Daten in Zip-Archiven nach Außen, die auf 16 MB begrenzt sind. Falls erforderlich, verwenden die Hacker mehrere Archive. Das Opfer sendet eine Liste der übereinstimmenden Dateien an den C2-Server, einschließlich Informationen über den vollständigen Pfad, die erstellte Größe und das Datum der letzten Änderung der exfiltrierten Datei.
- A4 - DOWNLOAD_AND_DELETE_LIST: Diese Aufgabe löscht zusätzlich die hier exfiltrierten Dateien vor Ort zusätzlich gelöscht. Vermutlich wollten die Angreifer Daten entfernen, die andere Malware und ihre Aufgaben erzeugt haben. Die Hacker beseitigen ihre Spuren.
- A6 - SCAN_LIST: Ähnlich wie Aufgabe A3. Die Aufgabe meldet doppelte Dateien, ohne sie mehrfach nach außen weiterleiten. Die Hacker vermeiden also Duplikate und verringern das Datenaufkommen, wenn er die gesammelten Daten überträgt.
- A7 - SCREENSHOT: Diese Aufgabe lädt einen Screenshot von einem kompromittierten Rechner hoch.
Gezielte Suche nach Daten
Die Hacker verwendeten unterschiedliche aktuelle, in C++ geschriebene Malware. Eine ausführbare Datei diagsvc.exe speicherten die Angreifer im wenig Verdacht erweckenden Ordner C:\\ProgramData\\Programs. Sie war für den unerlaubten Datenabfluss konzipiert.
Alle gesammelten Skripte kontaktierten denselben C2-Server mit der Adresse 84.32.188[.]123.
Nach der Ausführung begann DownEx mit der rekursiven Analyse von lokalen und Netzlaufwerken und sammelt Dateien mit bestimmten Erweiterungen: .doc, .docx, .rtf, .xlsx, .xls, .pdf, .ppt, .pptx, .~tm, .bmp, .rar, .jpg, .odt, .p12, .heic, .enc, .jpeg, .tiff, .tif, .zip, .crf, .enc, .cr, .lhz, .pem, .pgp, .sbx, .tlg.
Die Angreifer waren dabei offensichtlich an vertraulichen Dateien wie . pgp (Pretty Good Privacy) oder .pem (Privacy Enhanced Mail), aber auch an Finanzdaten wie QuickBooks-Protokolldateien (.tlg-Erweiterung) interessiert.
Zum Exfiltrieren verwenden sie ein .zip-Archiv. Die Größe der unkomprimierten Daten war dabei für jedes Archiv auf 30 MB begrenzt. Falls erforderlich, legt die Malare mehrere Archivdateien an. Um das Datenaufkommen zu begrenzen, speicherte DownEx Prüfsummen von bereits exfiltrierten Dateien (CRC), um Duplikate zu vermeiden. Die Archive schickt die Malware mit einer POST-Anfrage an http[:]//84.32.188[.]123/hftqlbgtg.php an den Command-and-Control-Server.
Eine weitere VBScript-basierte Version von DownEx mit identischer Version wie die C++-Version agierte als Fileless-Angriff alleine im Arbeitsspeicher und zu keinem Zeitpunkt auf einem angegriffenen Medium. Solche Angriffe sind nur schwer zu erkennen.
Optimierter Datenversand erfordert eine umfassende Abwehr
DownEx verdeutlicht die Raffinesse und Professionalität moderner Cyberangriffe. Cyberkriminelle betreiben durchaus Aufwand um ihre Angriffe effizienter, unauffälliger und vielseitiger zu machen. Um solche Kampagnen zu erkennen und zu verhindern, benötigen Behörden und Unternehmen eine Kombination von fortschrittlichen Cybersicherheitstechnologien. Abwehrmechanismen wie fortschrittliche Malware-Erkennung mit maschinellem Lernen, die bösartige Skripte identifizieren kann, E-Mail-Filterung, eine Sandbox für die Detonation verdächtiger Dateien, Netzwerkschutz, der C2-Verbindungen blockieren kann, sowie eine Erkennung und Abwehr über die eigentlichen Endpunkte hinaus und mit Hilfe von externen Sicherheitsanalysten gehören zum Werkzeugkasten einer zeitgemäßen Abwehr.
Über den Autor: Martin Zugec ist Technical Solutions Director bei Bitdefender.
(ID:49709558)
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/99/d29988dd50efd129a7a1d996269f3217/0112938579.jpeg "Cyberkriminelle finden immer wieder neue Wege, um Malware auf die Systeme ihrer Opfer zu laden. Selbst bei deaktivierten Office-Makros gibt es inzwischen Hintertüren für Ransomware und Remote Access Trojaner. (Bild: Alexander Limbach - stock.adobe.com)")