2018-08-26 09:29:45

Parallele Cyberangriffe der Sofacy-Gruppe

Unit 42 meldet, dass die Sofacy-Gruppe eine anhaltende globale Bedrohung bleibt. Die Gruppe von Cyberkriminellen nimmt weiterhin Ziele auf der ganzen Welt ins Visier. Der Schwerpunkt liegt auf Institutionen im Regierungs- und Diplomatenumfeld sowie anderen strategischen Einrichtungen, insbesondere in Nordamerika und Europa. Die Angriffskampagnen werden parallel ausgeführt, jedoch mit unterschiedlichen Werkzeugen.

Nach den Nachforschungen im Frühjahr 2018 hat Unit 42 nun eine neue Kampagne von Sofacy entdeckt, bei der ein weniger bekanntes Tool namens Zebrocy zum Einsatz kommt, das der Sofacy-Gruppe zugeschrieben wird. Zebrocy wird hauptsächlich über Phishing-Angriffe bereitgestellt, die bösartige Microsoft Office-Dokumente mit Makros sowie einfache ausführbare Dateianhänge enthalten. Diese dritte Sofacy-Kampagne steht im Einklang mit zwei zuvor gemeldeten Angriffskampagnen in Bezug auf die Angriffsziele, nämlich Regierungsorganisationen, die sich mit Außenpolitik befassen. In diesem Fall lagen die Ziele jedoch in verschiedenen geopolitischen Regionen. 

Ein interessanter Unterschied in dieser neuen Kampagne war, dass die Angriffe mit Zebrocy eine weitaus breitere Streuung innerhalb der Zielorganisation aufwiesen: Die Angreifer schickten bei dieser Kampagne Phishing-E-Mails an eine deutlich größere Anzahl von Personen. Die ausgewählten Zielpersonen entsprachen keinem signifikanten Muster, und die E-Mail-Adressen wurden mit Hilfe von Web-Suchmaschinen leicht gefunden. Dies ist völlig gegensätzlich zu anderen Angriffen, die üblicherweise mit der Sofacy-Gruppe in Verbindung gebracht werden. Dabei geraten im Allgemeinen nicht mehr als eine Handvoll Opfer innerhalb einer einzigen Organisation gezielt ins Visier der Angreifer.

Zusätzlich zur großen Anzahl von Zebrocy-Angriffen im Rahmen der jüngsten Kampagne, die Unit 42 entdeckte, beobachteten die IT-Sicherheitsprofis von Palo Alto Networks auch Instanzen der Sofacy-Gruppe, welche die DDE-Exploit-Technik (Dynamic Data Exchange) nutzten. Die von den Forschern beobachteten Instanzen lieferten aber andere Nutzlasten aus als zuvor beobachtet. In einem Fall wurde ein DDE-Angriff verwendet, um Zebrocy zu liefern und zu installieren, in einem anderen Fall handelte es sich um ein Open-Source-Toolkit namens Koadic. Die Sofacy-Gruppe hat in der Vergangenheit bereits verschiedene Open-Source- oder frei verfügbare Tools und Exploits eingesetzt, aber dies war das erste Mal, dass sie auf das Koadic-Toolkit zurückgreift.

Das Zebrocy-Tool, das bei den jüngsten Angriffen zum Einsatz kam, ist in verschiedenen Formen aufgebaut, basierend auf der Programmiersprache, die der Entwickler gewählt hat, um das Tool zu erstellen. Die Forscher von Palo Alto Networks haben Delphi-, AutoIt- und C++-Varianten von Zebrocy beobachtet, die alle nicht nur mit ihrer eigenen Funktionalität, sondern manchmal auch durch Verkettung von Varianten in einem einzigen Angriff zum Einsatz kommen. Diese Angriffe werden immer noch weitgehend über Speer-Phishing-Kampagnen verübt, mittels einfacher ausführbarer Anhänge, in der Hoffnung, dass ein Opfer die Datei öffnet.

mat

Druckversion

Zum Thema