APT-Hijacking und Fake Leads: die Bedrohungslandschaft im zweiten Quartal 2019

Bei Analysen der Advanced Persistent Threats (APT) im zweiten Quartal 2019 konnte Kaspersky Schwerpunkte im Nahen Osten und in Südkorea ausmachen. Zahlreiche Aktivitäten konzentrierten sich auf Cyberspionage oder den Zugriff auf finanzielle Ressourcen. [...]

Im Mai 2019 untersuchte Kaspersky online geleakte, offensichtliche Cyberspionage-Assets einer iranischen Organisation und schloss aus der Analyse, dass hinter diesen Assets die Gruppe „Hades“ stecken könnte. Diese war bereits im Zusammenhang mit „ExPetr“ und dem Cyberangriff auf die Olympischen Winterspiele 2018 in Erscheinung getreten. Diese und weitere Trends aus der Welt fortschrittlicher Cyberattacken gehen aus dem aktuellen Kaspersky-APT-Quartalsbericht [1] hervor.

So berichtet Kaspersky im zweiten Quartal 2019 über etliche interessante Aktivitäten im Nahen Osten. Dazu gehört eine Reihe gezielter Leaks von Assets (Code, Infrastruktur, Informationen über die APT-Gruppe und scheinbare Details zu den Opfern der Angriffe), die angeblich zwei bekannten persischsprachigen Bedrohungsakteuren zuzuordnen sind: OilRig und MuddyWater. Die einzelnen Leaks kamen aus verschiedenen Quellen und wurden mit nur wenigen Wochen Abstand veröffentlicht.

Das dritte Leak enthielt angeblich Informationen über die Organisation „RANA Institute“ und erschien in persischer Sprache auf der Website „Hidden Reality“. Bei der Analyse des veröffentlichten Materials, der Infrastruktur und der genutzten Website kamen die Kaspersky-Experten zu dem Schluss, dass dieses Leak dem Bedrohungsakteur Hades zugeordnet werden kann. Dabei handelt es sich um die Gruppe hinter „OlympicDestroyer“, also jenem Vorfall, der sich während der Olympischen Winterspiele 2018 in Pyeongchang ereignet hatte. Hades steckt zudem hinter dem Wurm ExPetr und verschiedenen Desinformationskampagnen, wie jene des E-Mail-Leaks während des Wahlkampfs des jetzigen französischen Präsidenten Emmanuel Macron im Jahr 2017.

Weitere Erkenntnisse aus dem APT-Bericht des zweiten Quartals 201

• Russischsprachige Gruppen entwickeln und veröffentlichen weiterhin konsequent neue Tools und starten neue Aktionen. So hat beispielsweise „Zebrocy“ bereits seit März 2019 Ziele in Pakistan und Indien ins Visier genommen, darunter Veranstaltungen, Amtsträger, Diplomaten und Militärs, und ständige Zugänge zu lokalen und entfernten Netzwerken der Regierungen zentralasiatischer Staaten aufrechterhalten. Die Angriffe der Turla-Gruppe sind weiterhin durch ein sich rasch entwickelndes Toolset gekennzeichnet, sowie – in mindestens einem nennenswerten Fall – durch das Kapern der Infrastruktur von OilRig.
• Die Aktivitäten mit Bezug auf Korea blieben hoch, während der Rest Südostasiens gegenüber den Vorquartalen ruhiger blieb. Erwähnenswert sind unter anderem ein Angriff der ,Lazarus‘-Gruppe auf einen südkoreanischen Mobile-Gaming-Hersteller sowie eine Kampagne von „BlueNoroff“, einer Untergruppe von Lazarus, die sich gegen eine Bank in Bangladesch und gegen Kryptowährungssoftware richtete.
• Die chinesischsprachige APT-Gruppe „SixLittleMonkeys“ fuhr eine Kampagne gegen Regierungsstellen in Zentralasien und nutzte dafür neue Versionen des Trojaners „Microcin“ sowie ein Remote Administration Tool (RAT) namens „HawkEye“, das Kaspersky bereits bekannt war.

„Das zweite Quartal 2019 macht deutlich, wie unklar und wirr die Bedrohungslandschaft inzwischen geworden ist. Oft sind die Dinge nicht so, wie sie scheinen“, erklärt Vicente Diaz, Principal Security Researcher im Global Research and Analysis Team bei Kaspersky. „Die Sicherheitsindustrie sieht sich daher der stetig wachsenden Aufgabe gegenüber, Licht in dieses trügerische Dunkel zu bringen und tatsächliche Fakten und Erkenntnisse über vorhandene Bedrohungen zu Tage zu fördern, von denen echte Cybersicherheit abhängt. Wie immer ist es wichtig anzumerken, dass auch unser Bild der Bedrohungslage nicht vollständig ist. Es wird immer Aktivitäten geben, die wir noch nicht entdeckt oder nicht vollkommen interpretiert haben. Daher bleibt für jeden der Schutz vor bekannten wie unbekannten Bedrohungen so elementar.“

Kaspersky-Empfehlungen gegen APT

• Mitarbeiter im Security Operations Center (SOC) können sich mit Threat Intelligence über neue Tools, aktuelle Techniken und Taktiken von Bedrohungsakteuren und Cyberkriminellen auf dem Laufenden halten.
• Lösungen wie Kaspersky Endpoint Detection and Response erlauben die Vorfallreaktion auf Endpoint-Niveau und eine rasche Wiederherstellung.
• Außerdem hilft eine unternehmensweit eingesetzte Sicherheitslösung wie Kaspersky Anti Targeted Attack Platform, APTs im Unternehmensnetz bereits in einem frühen Stadium zu erkennen.
• Da viele APTs mit Phishing und anderen Social Engineering-Methoden eingeleitet werden, sollten alle Mitarbeiter entsprechend geschult werden, zum Beispiel mit Hilfe der Kaspersky Automated Security Awareness Platform.

Der APT-Trendbericht für das zweite Quartal fasst Erkenntnisse der sonst nur Abonnenten zugänglichen Threat-Intelligence-Reports von Kaspersky zusammen. Er enthält zudem IOCs (Indicators of Compromise) sowie YARA-Regeln zur Unterstützung der Forensik und der Malware-Nachverfolgung. Der vollständige APT-Q2-Report ist abrufbar unter https://securelist.com/apt-trends-report-q2-2019/91897/.