Zum Hauptinhalt springen

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘ [1] entdeckt, der es nun zusätzlich zu den ursprünglichen Zielen im Irak und in Saudi-Arabien 2017 auf Regierungseinrichtungen und andere Organisationen in Jordanien, der Türkei, Aserbaidschan, Pakistan und Afghanistan abgesehen hat; zudem gab es Zielobjekte in Österreich. Die Malware wird über eine hochgradig personalisierte Spear-Phishing-Kampagne verbreitet – über Office-Dokumente und einer Aufforderung an potentielle Opfer, eingebettete Makros zu aktivieren. Die Angriffe dauern an.

Bei Muddy Water handelt es sich um einen relativ neuen Bedrohungsakteur, der zum ersten Mal im Jahr 2017 mit einer Kampagne gegen Regierungsziele im Irak und in Saudi-Arabien in Erscheinung trat. Anfang dieses Jahres entdeckten die Experten von Kaspersky Lab Spear-Phishing-E-Mails, die auf deutlich mehr Länder abzielten als bisher für diesen Bedrohungsakteur bekannt. Die Kampagne erreichte ihren Höhepunkt im Mai und Juni 2018, ist aber immer noch aktiv.

Der Inhalt der Spear-Phishing-E-Mails deutet darauf hin, dass die Hauptziele Regierungs- und Militäreinheiten, Telekommunikationsunternehmen und Bildungseinrichtungen sind. Die E-Mails haben einen ,MS Office 97-2003‘-Dateianhang. Die Infektion wird ausgelöst, wenn der Nutzer die Makros in den Dateien aktiviert.

Die Untersuchung von Kaspersky Lab dauert an, vor allem um Informationen über das Arsenal der Angreifer an PowerShell-, VBS-, VBA-, Python- und C#-Skripten, Tools und RATs (Remote-Access-Trojanern) zu erhalten.

Gefährliche PowerShell-Payload

Sobald die Infektion aktiviert ist, stellt die Malware Kontakt mit ihrem Kommandoserver (Command Server) her, indem sie eine zufällige URL-Adresse aus einer eingebetteten Liste anwählt. Nach dem Überprüfen möglicher auf dem anvisierten System installierter Sicherheitssoftware legt die Malware eine Reihe von Skripten auf dem betroffenen Computer ab. Schlussendlich richtet eine PowerShell-Payload die grundlegende Backdoor- und Zerstörungs-Funktionalität – d.h. die Möglichkeit, Dateien zu löschen – ein. Die Verwendung legitimer MS-Dateien bedeutet, dass die Malware die Enttarnung durch eine Blacklist umgehen kann. Darüber hinaus deaktiviert der PowerShell-Code die Funktionen ,Macro Warnings‘ und ,Protected View‘, um sicherzustellen, dass zukünftige Angriffe keine Interaktion durch den Nutzer erfordern. Die Infrastruktur der Malware umfasst eine Reihe kompromittierter Hosts.

Angriffsziele wurden in der Türkei, Jordanien, Aserbaidschan, Irak und Saudi-Arabien sowie in Mali, Russland, Iran, Bahrain und in Österreich entdeckt.

Es ist nicht sicher, wer für die Operation Muddy Water verantwortlich ist. Allerdings sind die Angriffe eindeutig geopolitisch motiviert - sie haben sensible Mitarbeiter und Organisationen zum Ziel. Der Code, der bei den aktuellen Angriffen verwendet wird, beinhaltet eine Reihe von Funktionen, die Sicherheitsexperten ablenken und irreführen sollen. Dazu gehört das Einstreuen chinesischer Zeichen in den Code und die Verwendung von Namen wie ,Leo‘, ,PooPak‘, ,Vendetta‘ und ,Turk‘ in der Malware.

„Während des vergangenen Jahres haben wir beobachtet, wie Muddy Water eine große Anzahl von Angriffen durchgeführt hat und kontinuierlich neue Methoden und Techniken entwickelt. Die Gruppe umfasst aktive Entwickler, die ihr Toolkit ständig verbessern, um die Gefahr einer Enttarnung durch Sicherheitsprodukte und -dienstleistungen zu minimieren“, sagt Amin Hasbini, Sicherheitsforscher bei Kaspersky Lab. „Dies deutete darauf hin, dass es in naher Zukunft mehr solcher Angriffe geben wird. Deshalb haben wir auch die ersten Ergebnisse veröffentlicht, um bei Organisationen das Bewusstsein für diese Bedrohung zu schärfen, damit sie entsprechende Verteidigungsmaßnahmen einleiten können. Wir analysieren das Arsenal der Angreifer weiterhin und beobachten ihre Entwicklung, ihre Strategien und Fehler genau.“

Kaspersky-Sicherheitsempfehlungen

Kaspersky Lab empfiehlt Unternehmen folgende Maßnahmen, um sich besser gegen Operationen wie Muddy Water zu schützen:

  • Die Implementierung eines umfassenden Ansatzes zur Erkennung, Vermeidung und Untersuchung gezielter Angriffe, einschließlich fortschrittlicher Anti-Targeted-Attack-Lösungen und Schulungen [2].
  • Dem Sicherheitsteam Zugang zu aktuellen Bedrohungsdaten und essentiellen Werkzeugen zur gezielten Angriffsvermeidung und -entdeckung ermöglichen, wie zum Beispiel Kompromittierungsindikatoren (Indicators of Compromise, IOC) oder YARA-Regeln.
  • Die Etablierung von Patch-Management-Prozessen in der Organisation.
  • Die Überprüfung aller Systemkonfigurationen und Implementierung von Best Practices.
  • Das Informieren aller Mitarbeiter über die Bedrohungsart, wie sie erkannt werden kann und was zu tun ist, wenn sie eine verdächtige E-Mail erhalten.

 

Die komplette Analyse über die Operation Muddy Water, inklusive Indikatoren für eine Gefährdung, ist unter https://securelist.com/muddywater/88059/ verfügbar.

 

[1]https://securelist.com/muddywater/88059/

[2]https://www.kaspersky.de/enterprise-security


Nützliche Links:

Kaspersky-Lösungen für Großunternehmen: https://www.kaspersky.de/enterprise-security

Nahost-fokussierter Bedrohungsakteur Muddy Water weitet Angriffe auf Regierungsziele in Asien, Europa und Afrika aus

Kaspersky Lab identifizierte auch Zielobjekte in Österreich
Kaspersky Logo