Suchen

Socafy-Gruppe Spear-Phishing-Mail aus dem US-Außenministerium

| Redakteur: Stephan Augsten

Mit einer Spear-Phishing-Mail starteten die Cyber-Kriminellen der Sofacy-Gruppe alias APT28 vor etwa zwei Wochen eine Cyber-Attacke auf die US-Regierung. Die Sicherheitsforscher der Unit 42 von Palo Alto Networks haben das Vorgehen genauer analysiert.

Firmen zum Thema

Eine gegen die US-Regierung gerichtete Spear-Phishing-Mail stammte offenbar selbst aus höchstpolitischer Quelle.
Eine gegen die US-Regierung gerichtete Spear-Phishing-Mail stammte offenbar selbst aus höchstpolitischer Quelle.
(Bild: Archiv)

Offenbar haben es die Cyber-Kriminellen von APT28 geschafft, das E-Mail-Konto des US-Außenministeriums zu kompromittieren. Die gegen eine andere Regierungsstelle gerichtete Spear-Phishing-Nachricht scheint nämlich direkt aus dem Postausgang zu stammen, heißt es seitens Palo Alto Networks.

Die Analyse des Angriffs ergab eine hohe Wahrscheinlichkeit, dass die E-Mail-Adresse des Absenders nicht gespooft, also gefälscht wurde. Stattdessen wurde wohl ein Host oder ein Account innerhalb des Ministeriums erfolgreich kompromittiert und missbraucht.

Die gezielte E-Mail hatte den Betreff „FW: Exercise Noble Partner 2016“, die ein Verweis auf eine gemeinsame NATO-Übung zwischen den Vereinigten Staaten und Georgien ist. Angehängt war die Carberp-Variante des Sofacy-Trojaners. In der Malware entdeckte die Unit 42 einen interessanten Mechanismus, der die Enttarnung erschweren sollte.

Die Besonderheit liegt in der Verwendung des Registry Keys: Dieser ist in diesem Fall besonders interessant, weil im Gegensatz zu den traditionellen Methoden hier nicht automatisch die "btecache.dll"-Datei beim Systemstart ausgeführt wird. Stattdessen bewirkt der Registry Key, dass die DLL nur geladen wird, wenn der Benutzer eine beliebige Microsoft Office-Anwendung wie Word oder Excel öffnet.

Auf diesem Weg wird sichergestellt, dass der Anwender zunächst eine Aktion ausführen muss, bevor die Malware selbst tatsächlich aktiv wird. Dies macht auch die Erkennung durch Sandboxes sehr schwierig, konstatiert Palo Alto Networks. Die Malware sei gut gegen konventionelle Entdeckung geschützt.

Die Sofacy-Gruppe liefert mit diesem Angriff, bei dem Spear-Phising und hochentwickelte Trojaner zum Einsatz kommen, ein alarmierendes Beispiel seiner Kampagnen gegen Regierungsorganisationen, insbesondere gegen die US-Regierung. Die Verwendung der neuen Persistenzmethode zeigt die weitere Entwicklung von Taktiken und Cyberbedrohungen.

Artikelfiles und Artikellinks

(ID:44108958)