2018-11-08 07:51:37

Cobalt Gang nimmt Banken und Finanzdienstleister ins Visier

Dem IT-Sicherheitsanbieter Palo Alto Networks ist es gelungen, die jüngsten Aktivitäten der bereits mehrfach in Erscheinung getretenen cyberkriminellen Cobalt Gang ans Licht zu bringen. Ausgehend von schädlichen Makros sowie spezifischen Signalen, die das Forscherteam in den Metadaten von manipulierten PDF-Dokumenten fand, war es möglich, TTPs (Taktiken, Techniken und Prozeduren) sowie Cluster-Infrastrukturen zu identifizieren, die aufgrund mehrerer Überschneidungen den Aktivitäten der Cobalt Gang zugeordnet werden konnten.

Heutzutage ist es für Angreifer mit fortgeschrittenen Fähigkeiten sehr einfach, problemlos verfügbare Commodity-Tools und -Malware einzusetzen. In Kombination mit sehr einfachen Methoden zur Erstauslieferung gelingt es den Angreifern, sich unauffällig zu verhalten und einer möglichen Erkennung zu entgehen. Einer der häufigsten Ansätze ist die Verwendung von Speer-Phishing-E-Mails und Social Engineering, um die Mitarbeiter von Unternehmen zu täuschen und deren Interesse zu wecken. Ebenso kommen häufig verwendete Exploits (z.B. CVE-2017-0199) zum Einsatz. Sobald die erste Infektion aufgetreten ist, gehen die Angreifer ausgefeilter vor, indem sie benutzerdefinierte Malware und fortschrittlichere Tools einsetzen.

Dieser Ansatz erschwert es Bedrohungsjägern und Netzwerkverteidigern, die Nadeln im Heuhaufen zu finden, die notwendig sind, um eine Kampagne und ihre Ziele zu identifizieren. Doch selbst wenn ein Angreifer Commodity-Builder und -Tools einsetzt, besteht immer die Möglichkeit, bestimmte Signale oder Merkmale zu finden, die helfen, die Infrastruktur eines Akteurs zu identifizieren und zu verfolgen. Eine der Gruppen, die dafür bekannt ist, ihren TTP-Fingerabdruck stets beizubehalten, ist die Cobalt Gang, die auch nach der Verhaftung ihres mutmaßlichen Anführers in Spanien in diesem Jahr nach wie vor noch aktiv ist.  

In den letzten Wochen untersuchte Palo Alto Networks laufende Kampagnen der Cobalt Gang und nutzte die neuesten Informationen, die in Forschungsberichten veröffentlicht wurden, um die Entdeckung und Zuweisung neuer Infrastrukturen zu dieser Gruppe voranzutreiben. Infolgedessen konnte Palo Alto Networks obwohl die Verwendung eines gängigen Makro-Builders als auch spezifische Dokumenten-Metadaten identifizieren. Diese Hinweise haben es ermöglicht, Aktivitäten und Infrastrukturen im Zusammenhang mit der Cobalt Gang zu verfolgen und zu bündeln. 

Eines der jüngsten Beispiele im Rahmen der Analyse der Kampagne zeigt die Einfachheit der von dieser Gruppe durchgeführten Angriffe. So wurden Mitarbeiter mehrerer Bankinstitute auf der ganzen Welt mit einer E-Mail mit dem Betreff „Confirmations on October 16, 2018“ adressiert. Dies untermauert die Tatsache, dass E-Mail immer noch einer der wichtigsten Angriffsvektoren ist, den die Forscher ständig beobachten.  

Der Anhang ist nur ein PDF-Dokument ohne jede Art von Code oder Exploit, stattdessen setzen die Akteure auf Social Engineering und versuchen, den Benutzer über einen Link zum Herunterladen des bösartigen Makros zu bewegen. Zum Schutz vor statischen Analysetools sind eine leere com-Seite sowie einige Textseiten enthalten, die helfen, während der Analyse keine roten Flaggen zu provozieren, indem etwas Authentizität hinzugefügt wird. So kann die Erkennung durch herkömmliche Anti-Viren-Software vermieden werden, woraus in der ersten Angriffsstufe ein sehr effektiver Transport per E-Mail resultiert.

Das heruntergeladene schädliche Makro verwendet cmstp.exe, um ein „Scriptlet“ auszuführen, eine Technik, die bekannt dafür ist, AppLocker zu umgehen, und fährt mit den nächsten Schritten der Nutzlastzustellung fort. Das Ziel der jüngsten Forschungsaktivitäten war nicht die Nutzlastanalyse. Die Forscher konzentrierten sich stattdessen auf alle möglichen Aspekte der Angriffsdurchführung zur weiteren Verfolgung der Kampagne und der damit verbundenen Infrastruktur.  

Wie die Analyse ergab, führt die Verwendung einer Standard-PDF-Datei mit einem eingebetteten Google-Redirect-Link zu einem sehr effektiven Social-Engineering-Angriff. Diese sogenannten Commodity-Angriffe werden häufig auch für gezieltere Angriffe eingesetzt, da sie die Identifizierung für Netzwerkverteidiger und Bedrohungsjäger erschweren. Durch die Fokussierung auf spezifische Aspekte der Makro-Builder und die Metadaten, die die Angreifer hinterlassen, können Bedrohungsjäger dennoch Mechanismen zur Verfolgung der Aktivitäten und Infrastruktur des Hackers heranziehen. 

log

Druckversion

Zum Thema