Die von Palo Alto Networks identifizierte Malware "Infy", die auch vom Iran genutzt wird, wird seit zehn Jahren bei gezielten Angriffen eingesetzt. [...]
Palo Alto Networks hat mehrere verwandte Varianten einer bisher nicht veröffentlichten Malware-Familie identifiziert, die „Infy“ benannt wurde. Diese Malware-Familie war offensichtlich an vom Iran aus durchgeführten E-Spionage-Angriffen beteiligt, die bis ins Jahr 2007 zurückreichen. Angriffe, die dieses Malware-Tool nutzen, waren bis zuletzt aktiv. Angriffskampagnen, die sehr begrenzt auftreten, können oft jahrelang versteckt ausgeführt werden. Wenn nur wenige Malware-Samples eingesetzt werden, ist es weniger wahrscheinlich, dass Sicherheitsforscher diese identifizieren und miteinander in Verbindung bringen.
Im Mai 2015 entdeckte Palo Alto Networks zwei E-Mails, die schädliche Dokumente enthielten. Die Mails stammten von einem kompromittierten Google-Mail-Konto in Israel und wurden an eine israelische Industrieorganisation gesendet. Eine E-Mail enthielt eine Microsoft-Powerpoint-Datei mit dem Namen „thanks.pps“, die andere ein Microsoft-Word-Dokument mit dem Namen „request.docx“. Etwa zur gleichen Zeit, erfasste auch WildFire eine E-Mail mit einem Word-Dokument namens „hello.docx“ mit einem identischen Hash wie die früheren Word-Dokumente, diesmal an einen Empfänger der US-Regierung verschickt. Auf der Basis verschiedener Attribute dieser Dateien und der Funktionalität der installierten Malware hat Palo Alto Networks über 40 Varianten der Malware-Familie Infy identifiziert und gesammelt.
Die Angriffe, in denen Palo Alto Networks die Infy-Malware identifiziert hat, beginnen mit einer Speer-Phishing-E-Mail, die ein Word- oder Powerpoint-Dokument enthält. Diese angefügte Dokumentendatei wiederum enthält ein mehrstufiges selbstextrahierendes Executable-Archiv (SFX). Der Inhalt der Mail dient dazu, mittels Social Engineering den Empfänger dazu zu verleiten, die ausführbare Datei zu aktivieren. So öffnet sich zum Beispiel die PPS-Datei im Powerpoint-„Show“-Modus. Der Benutzer sieht eine Powerpoint-Seite, die scheinbar ein Video enthält. Der Empfänger wird so ausgetrickst, dass er auf „Run“ klickt, wodurch die eingebettete SFX-Datei ausgeführt wird.
Die ausführbare Datei installiert eine dynamische Programmbibliothek, schreibt in den Autorun-Registrierungsschlüssel und wird nicht aktiviert bis zum Neustart. Nach dem Neustart überprüft die ausführbare Datei die Umgebung auf Antivirus-Software und verbindet sich dann zum C2-Server. Dann beginnt die Malware Daten über die Umgebung zu sammeln, bringt einen Keylogger in Stellung und stiehlt Browser-Passwörter und Inhalte wie Cookies, bevor die Daten übermittelt werden.
Nach einer umfassenden Analyse der Malware und C2-Infrastruktur zwischen diesen Samples hatte Palo Alto Networks genügend Anhaltspunkte, um auf ein typisches Verhaltensmuster zu schließen. Die Aktivität wurde über fast zehn Jahre beobachtet, wobei die Malware ständig verbessert und weiterentwickelt wurde. Das geringe Aktivitätsvolumen, der bewusst gewählte Fokus der Kampagne und maßgeschneiderte Inhalte lieferten Hinweise auf die Art der Ziele der Akteure. Palo Alto Networks ist der Ansicht, Aktivitäten aufgedeckt zu haben, die bereits seit rund zehn Jahren ausgeführt werden und überwiegend unter dem Radar stattfanden. Es handelt sich dabei offensichtlich um gezielte E-Spionage vom Iran aus, die gegen Regierungen und Unternehmen aus mehreren Ländern sowie die eigenen Bürger gerichtet ist.
Kompromittierungsindikatoren (Indicators of Compromise, IOCs) finden sich in einem detaillierten Beitrag über die Malware auf der Website von Unit 42, dem Forschungszentrum von Palo Alto Networks. (pi/rnf)
Be the first to comment