Socafy-Gruppe

Spear-Phishing-Mail aus dem US-Außenministerium

| Redakteur: Stephan Augsten

Eine gegen die US-Regierung gerichtete Spear-Phishing-Mail stammte offenbar selbst aus höchstpolitischer Quelle.
Eine gegen die US-Regierung gerichtete Spear-Phishing-Mail stammte offenbar selbst aus höchstpolitischer Quelle. (Bild: Archiv)

Mit einer Spear-Phishing-Mail starteten die Cyber-Kriminellen der Sofacy-Gruppe alias APT28 vor etwa zwei Wochen eine Cyber-Attacke auf die US-Regierung. Die Sicherheitsforscher der Unit 42 von Palo Alto Networks haben das Vorgehen genauer analysiert.

Offenbar haben es die Cyber-Kriminellen von APT28 geschafft, das E-Mail-Konto des US-Außenministeriums zu kompromittieren. Die gegen eine andere Regierungsstelle gerichtete Spear-Phishing-Nachricht scheint nämlich direkt aus dem Postausgang zu stammen, heißt es seitens Palo Alto Networks.

Die Analyse des Angriffs ergab eine hohe Wahrscheinlichkeit, dass die E-Mail-Adresse des Absenders nicht gespooft, also gefälscht wurde. Stattdessen wurde wohl ein Host oder ein Account innerhalb des Ministeriums erfolgreich kompromittiert und missbraucht.

Die gezielte E-Mail hatte den Betreff „FW: Exercise Noble Partner 2016“, die ein Verweis auf eine gemeinsame NATO-Übung zwischen den Vereinigten Staaten und Georgien ist. Angehängt war die Carberp-Variante des Sofacy-Trojaners. In der Malware entdeckte die Unit 42 einen interessanten Mechanismus, der die Enttarnung erschweren sollte.

Die Besonderheit liegt in der Verwendung des Registry Keys: Dieser ist in diesem Fall besonders interessant, weil im Gegensatz zu den traditionellen Methoden hier nicht automatisch die "btecache.dll"-Datei beim Systemstart ausgeführt wird. Stattdessen bewirkt der Registry Key, dass die DLL nur geladen wird, wenn der Benutzer eine beliebige Microsoft Office-Anwendung wie Word oder Excel öffnet.

Auf diesem Weg wird sichergestellt, dass der Anwender zunächst eine Aktion ausführen muss, bevor die Malware selbst tatsächlich aktiv wird. Dies macht auch die Erkennung durch Sandboxes sehr schwierig, konstatiert Palo Alto Networks. Die Malware sei gut gegen konventionelle Entdeckung geschützt.

Die Sofacy-Gruppe liefert mit diesem Angriff, bei dem Spear-Phising und hochentwickelte Trojaner zum Einsatz kommen, ein alarmierendes Beispiel seiner Kampagnen gegen Regierungsorganisationen, insbesondere gegen die US-Regierung. Die Verwendung der neuen Persistenzmethode zeigt die weitere Entwicklung von Taktiken und Cyberbedrohungen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44108958 / DDoS und Spam)