NetzwerksicherheitDie Branche wurde auf eine jüngste Serie von Spear-Phishing-Angriffen der berüchtigten Cyberspionage-Organisation Cloud Atlas aufmerksam gemacht, die auf russische Agrarunternehmen und staatliche Forschungsinstitute abzielten. Dies geht aus einem Bericht des unabhängigen Cybersicherheitsunternehmens F.A.C.C.T. hervor, das Anfang dieses Jahres nach der Abspaltung des ehemaligen Group-IB-Teams gegründet wurde.
Die Organisation Yuntu ist seit mindestens 2014 aktiv und ihre wahre Identität ist nach wie vor unbekannt. Sie hat mehrere Aliasnamen verwendet, darunter Clean Ursa, Inception, Oxygen und Red October. Die Organisation ist berüchtigt für ihre langjährigen Cyberspionage-Aktivitäten gegen Länder wie Russland, Belarus, Aserbaidschan, die Türkei und Slowenien.
Im Dezember 2022 deckten Check Point und Positive Technologies, zwei Sicherheitsfirmen, eine ausgeklügelte Angriffsmethode der Organisation Cloud Atlas auf, bei der ein PowerShell-basiertes Backdoor-Programm namens PowerShower sowie eine DLL-Malware-Komponente eingesetzt wurde, die mit einem vom Angreifer kontrollierten Server kommunizieren konnte.
Gerissene Taktik: Nutzung alter Sicherheitslücken, um zum Herunterladen von bösartigen Dateien zu verleiten
Der Angriff begann mit einer scheinbar generischen Köder-E-Mail, die ein bösartiges Dokument enthielt, das die Sicherheitslücke CVE-2017-11882 ausnutzte. Bei der Schwachstelle handelt es sich um einen sechs Jahre alten Speicherfehler im Microsoft Office Formel-Editor, den die Cloud Graph-Organisation seit Oktober 2018 ausnutzt, um bösartige Programme auszuführen.
In einem Bericht vom August 2019 stellte Kaspersky fest: "Die groß angelegten Spear-Phishing-Angriffskampagnen der Cloud-Graph-Organisation nutzen weiterhin diese einfache, aber äußerst effektive Methode, um Informationen von ihren Zielen zu stehlen. Im Gegensatz zu anderen Angriffsgruppen verwenden die jüngsten Angriffskampagnen der Cloud-Graph-Organisation keine Open-Source-Implantate, sondern maßgeschneiderte Malware, um die Tarnung zu verbessern."
Der F.A.C.C.T.-Bericht stellt fest, dass die jüngsten Angriffe denen ähneln, die zuvor von Positive Technologies aufgedeckt wurden. Diese nutzen ebenfalls die Sicherheitslücke CVE-2017-11882 aus, um bösartige RTF-Vorlagen einzuschleusen, die wiederum verschleierte HTA-Dateien herunterladen und ausführen. Bemerkenswert ist, dass diese Angriffs-E-Mails in der Regel von den beliebten russischen E-Mail-Diensten Yandex Mail und VK's Mail.ru stammen.
Die bösartige HTML-Anwendung startet dann eine Visual Basic Script (VBS)-Datei, die schließlich unbekannten VBS-Code von einem entfernten Server herunterlädt und ausführt, wodurch der Angriffsprozess abgeschlossen ist.
"Die Cloud Mapping-Organisation ist sehr ausgeklügelt und sie orchestriert jeden Aspekt ihrer Angriffe", so Positive Technologies in einem Bericht über die Gruppe im vergangenen Jahr. "Die Angriffswerkzeuge der Gruppe haben sich über die Jahre kaum verändert, und sie entgehen der Entdeckung durch einmalige Nutzdatenanfragen mit Authentifizierung sowie durch die Ausnutzung legitimer Cloud-Speicher und der Möglichkeiten von Microsoft Office.
Vorsicht vor Decoy Dog: eine weitere Malware, die auf Russland abzielt
Neben dem Angriff der Cloud Mapping-Organisation meldete die F.A.C.C.T. auch eine andere Malware namens Decoy Dog, eine Variante von Pupy RAT, für die mindestens 20 russische Organisationen angegriffen wurden, was die F.A.C.C.T. einer anderen Organisation für fortgeschrittene anhaltende Bedrohungen namens Hellhounds zuschreibt.
Die Malware ermöglicht es Angreifern nicht nur, infizierte Hosts fernzusteuern, sondern enthält auch ein Skript, das Telemetriedaten an ein Mastodon-Konto namens "Lamir Hasabat" (@lahat) übermittelt.
Die Sicherheitsforscher Stanislav Pyzhov und Aleksandr Grigorian erklärten: "Nach der Veröffentlichung von Informationen über die erste Version von Decoy Dog haben die Malware-Autoren mehrere Schritte unternommen, um die Erkennung im Datenverkehr und in Dateisystemen deutlich zu verbessern."
Sicherheitswarnung: Vorsicht vor Harpoon-Angriffen, Software-Schwachstellen auf dem neuesten Stand halten
Dieser Vorfall erinnert Nutzer und Unternehmen einmal mehr daran, sich vor den Gefahren von Speer-Phishing-Angriffen zu hüten. Die rechtzeitige Aktualisierung von Software zur Behebung von Sicherheitslücken, die Installation zuverlässiger Sicherheitssoftware, Wachsamkeit und Vorsicht bei verdächtigen E-Mails sind wichtige Maßnahmen zur Abwehr solcher Angriffe.
Originalartikel von SnowFlake, bei Vervielfältigung bitte angeben: https://cncso.com/de/cloud-atlas-spear-phishing-attacks-hit-russian-firms.html
