Malware ähnelt APT-Gruppe

Angriffe auf militärisch-industrielle Organisationen

16. August 2022, 15:30 Uhr | Autor: Jörg Schröper | Kommentar(e)
Botnetz
© Sergey Balakhnichev - 123RF

Das Kaspersky ICS CERT hat nach eigenen Angaben eine Reihe zielgerichteter Angriffe gegen Industrieanlagen, Forschungsinstitute, Regierungsbehörden, Ministerien und Ämter in mehreren osteuropäischen Ländern, darunter Russland, der Ukraine und Belarus, sowie in Afghanistan identifiziert.

Im Januar 2022 haben Kaspersky-Experten mehrere fortschrittliche Angriffe auf Militärunternehmen und öffentliche Organisationen entdeckt, darunter Industrieanlagen, Designbüros, Forschungsinstitute, Regierungsbehörden, Ministerien und Ämter, die darauf abzielten, sensible Informationen zu stehlen und die Kontrolle über die IT-Systeme zu erlangen. Die von den Angreifern verwendete Malware ähnelt der von TA428 APT, einer chinesischsprachigen APT-Gruppe.

Die Angreifer infiltrieren die Unternehmensnetzwerke zielgerichtet durch sorgfältig gestaltete Spear-Phishing-Mails, von denen einige spezifische Informationen zu der jeweiligen anvisierten Organisation enthielten, die zum Zeitpunkt des E-Mail-Versands noch nicht öffentlich waren. Die Phishing-Mails enthielten ein Microsoft-Word-Dokument mit Schadcode, um eine Schwachstelle auszunutzen, mit der beliebiger Code ohne zusätzliche Aktivität ablaufen kann. Die Schwachstelle existiert in veralteten Versionen des Microsoft Equation Editors, einer Komponente von Microsoft Office.

Die Angreifer nutzten gleichzeitig sechs verschiedene Backdoors, um zusätzliche Kommunikationskanäle mit den infizierten Systemen einzurichten – für den Fall, dass eines der Schadprogramme von einer Sicherheitslösung entdeckt und entfernt wurde. Diese Backdoors bieten umfangreiche Funktionen zur Kontrolle infizierter Systeme und zum Sammeln vertraulicher Daten. Die letzte Phase des Angriffs bestand darin, den Domain-Controller zu übernehmen und die vollständige Kontrolle über alle Workstations und Server des Unternehmens zu erlangen. In einem Fall war es den Angreifern sogar möglich, das Kontrollzentrum für Cybersicherheitslösungen zu übernehmen. Nachdem die Angreifer Domain-Administratorrechte und Zugriff auf das Active Directory erhalten hatten, führten sie einen sogenannten „Golden Ticket“-Angriff durch, um sich als beliebige Nutzerkonten von Organisationen auszugeben und nach Dokumenten sowie anderen Dateien zu suchen, die vertrauliche Daten der angegriffenen Organisation enthielten. Die exfiltrierten Daten hosteten die Angreifer auf Servern in verschiedenen Ländern.

„Golden-Ticket-Angriffe nutzen das Default Authentication Protocol, das seit der Verfügbarkeit von Windows 2000 verwendet wird“, erklärt Vyacheslav Kopeytsev, Sicherheitsexperte im ICS CERT Kaspersky. Durch das Fälschen von Kerberos Ticket Granting Tickets (TGTs) innerhalb des Unternehmensnetzwerks können die Angreifer auf jeden Dienst, der zum Netzwerk gehört, zugreifen und das für unbegrenzte Zeit. Infolgedessen reiche es nicht aus, nur Passwörter zu ändern oder kompromittierte Konten zu sperren. Die Empfehlung sei, alle verdächtigen Aktivitäten sorgfältig überprüfen und vertrauenswürdige Sicherheitslösungen einsetzen.

Zuerst erschienen auf lanline.de.


Verwandte Artikel

Kaspersky Lab GmbH

Anbieterkompass