- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Phishing-Versuch mit Verbindungen zu APT29


FireEye-Report: Verdacht auf APT29-Phishing-Attacke, die sich als U.S. Department of State ausgibt
APT29 ist bekannt dafür, innerhalb von wenigen Stunden nach der ersten Gefährdung sich weiter auszubreiten

- Anzeigen -





FireEye hat einen Report vorgestellt, der Daten zu einem gezielten Phishing-Versuch mit Verbindungen zu APT29 beinhaltet. Der Bericht bezieht sich auf Daten, die FireEye erstmals am 14. November 2018 entdeckt hat.

Die wichtigsten Erkenntnisse des Reports umfassen:

• >> FireEye hat Bestrebungen aufgedeckt, bei denen Angreifer versuchten, in verschiedene Branchen einzudringen, darunter Think-Tank, Strafverfolgung, Medien, US-Militär, Transport, Pharmazie, nationale Regierung und Verteidigungsaufträge.

• >> Die Versuche beinhaltete eine Phishing-E-Mail, die vorgab, vom U.S. Department of State zu stammen – einschließlich Links zu ZIP-Files mit bösartigen Windows Shortcuts, die Cobalt Strike Beacon beinhalteten.

• >> Gleiche technische Merkmale: Taktiken, Techniken und Vorgehensweisen (TTPs), sowie das Targeting geben Anlass dazu, diese Aktivitäten aufgrund bereits beobachteter Aktivitäten APT29 zuzuordnen.

• >> APT29 ist bekannt dafür, innerhalb von wenigen Stunden nach der ersten Gefährdung sich weiter auszubreiten.

Der Report zeigt hauptsächlich die Gründe dafür auf, warum die Kampagne vermutlich APT29 zugeordnet werden kann. Dabei wurden auch neue Daten ermittelt:

>> Er gibt einen Einblick, warum – sollte es sich um APT29 handeln – diese Aktivität so beunruhigend ist, da sie dann wahrscheinlich Teil einer größeren Operation ist. Vor allem, weil APT29 dafür bekannt ist, sich innerhalb von wenigen Stunden nach der ersten Gefährdung weiter auszubreiten.

>> Er gibt Ratschläge, warum oder wann diese Zuordnung eine Rolle spielt und wann sie weniger wichtig ist: "Für Netzwerkverteidiger sollte die Frage, ob diese Aktivität von APT29 durchgeführt wurde oder nicht, zweitrangig sein. Im Fokus steht, den vollen Umfang des Eindringens richtig zu untersuchen, was von entscheidender Bedeutung ist, wenn die schwer fassbaren und irreführenden APT29-Betreiber tatsächlich Zugang zu Ihrer Umgebung hatten.

>> Er bietet eine Timeline, die die Planung der Attacke von mindestens einen Monat im Voraus bis zur Attacke am 14. November zeigt.

>> Er geht TTP sowie Überschneidungen beim Targeting bei dieser Attacke und APT29 auf dem Grund und erklären die Vorbehalte bei dieser Analyse.

>> Er liefert bisher nicht öffentliche technische Daten aus E-Mails, Einblicke in die Angreifer-Infrastruktur und neue Metadaten aus der Phishing-Payload sowie der ursprünglichen Backdoor.

>> Schließlich stellt er Indikatoren vor, die auf einen Kompromiss schließen lassen, basierend auf den Beobachtungen von FireEye.
(FireEye: ra)

eingetragen: 21.11.18
Newsletterlauf: 06.12.18

FireEye: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Emotet: Allzweckwaffe des Cybercrime

    Die Emotet-Schadsoftware wird derzeit über gefälschte Amazon-Versandbestätigungen verteilt. G Data erklärt, was hinter der Malware steckt und warum sie so gefährlich ist. Emotet ist eine der langlebigsten und professionellsten Cybercrime-Kampagnen der vergangenen Jahre. Erstmals im Jahr 2014 als Banking-Trojaner entdeckt hat die Malware sich über die Jahre zu einer umfassenden Lösung für das Cybercrime entwickelt. Die Schadsoftware nimmt dabei in der Regel nur die Funktion des Türöffners ein, der dann weiteren Schadcode auf dem Rechner installiert. Aktuell wird Emotet über sehr gut gefälschte Amazon-E-Mails verteilt, die Nutzer zum Herunterladen eines Word-Dokuments nötigen wollen. Nach einem Klick auf den angeblichen Tracking-Link öffnet sich das Word-Dokument, das Nutzer auffordert, aktive Inhalte zuzulassen und dann die Infektion des PCs veranlasst.

  • Überwachungs- & Verfolgungsoperationen

    Im Dezember 2018 identifizierte FireEye APT39 als eine iranische Cyber-Spionagegruppe, die mit dem weitreichenden Diebstahl persönlicher Daten in Verbindung steht. Seit November 2014 hat FireEye Aktivitäten im Zusammenhang mit dieser Gruppe verfolgt, um Organisationen vor APT39 zu schützen. Mit ihrem Fokus auf personenbezogenen Daten unterscheidet sich APT39 von anderen iranischen Gruppen, die FireEye beobachtet und die mit Einflussoperationen, Störungsangriffen und anderen Bedrohungen in Verbindung stehen. Mit dem Fokus auf personenbezogene Daten soll APT39 wahrscheinlich Überwachungs- und Verfolgungsoperationen im nationalen Interesse des Irans unterstützen, oder zusätzliche Zugangsmöglichkeiten und -Vektoren für spätere Kampagnen vorbereiten.

  • Zukunft von unentdeckter Malware

    Malwarebytes veröffentlichte die Studie "Unter dem Radar - die Zukunft von unentdeckter Malware" und beleuchtet darin einige der neuesten Bedrohungen in diesem Bereich für Unternehmen: Emotet, TrickBot, Sobretec, SamSam und PowerShell. Widerstandsfähigkeit und Erkennungsvermeidung als neuer Fokus: Die stetige Weiterentwicklung von Cyberkriminalität ist eine Konstante in unserer heutigen digitalen Welt. Fast täglich gibt es Nachrichten von neuen Angriffsmethoden, einer neuen Angriffsstrategie oder einer Taktik, mit der Cyberkriminelle Benutzer infizieren, ihre Lebensgrundlage gefährden und oder ganz allgemein Chaos anrichten. Um ihren Profit zu steigern, wollen Cyberkriminellen Endpunkte zielgerichtet und vollständig besetzen. Sie haben das Ziel, Endpunkte unbemerkt zu infizieren, sowohl in dem Moment der ersten Gefährdung, als auch bei allen weiteren Versuchen, den Endpunkt zu besetzen.

  • Wesentlich effizientere DDoS-Bots

    Das Botnetz Mirai beschränkt sich nicht mehr länger auf ungesicherte IoT-Geräte. Das sind Erkenntnisse von Asert, ein Team aus Sicherheitsspezialisten des Unternehmens Netscout Arbor, ein Anbieter von Business Assurance-, Cybersicherheits- und Business-Intelligence-Lösungen.Kriminelle Betreiber der großen Botnetze haben die Malware von Mirai so angepasst, dass sie nun auch ungepatchte Linux-Server über die Schwachstelle Hadoop Yarn gefährden. Hadoop ist ein Framework von Apache, das Big Data-Anwendungen verarbeitet und speichert, die in geclusterten Systemen ausgeführt werden. Yarn ist für die Zuweisung von Systemressourcen und Planungsaufgaben verantwortlich.

  • Hacker gehen auf Butterfahrt

    GuardiCore hat eine Hacking-Kampagne aufgedeckt, bei der ein Remote-Access-Trojaner (RAT) mit DDoS-Funktion samt Krypto-Miner installiert werden. Die "Butter" genannte Schadsoftware agiert im Hintergrund und wird zur Verwischung ihrer Spuren als Linux-Kernel-Rootkit getarnt. GuardiCore entwickelt IT-Sicherheitstechnologien und erstellt mit einem weltweiten Forscherteam sicherheitsbezogene IT-Analysen, Rechercheberichte und Gegenmaßnahmen für aktuelle Bedrohungen.