Das steckt hinter der Kampagne „SneakyPastes“ der Gaza-Cybergang

Bei unserem Kaspersky Security Analyst Summit (SAS) geht es traditionell um APT-Angriffe; aus diesem Grund haben wir dort in vorigen Jahren auch erstmals Informationen über Slingshot, Carbanak und Careto veröffentlicht. Zielgerichtete Angriffe erleben in den letzten Jahren einen absoluten Höhenflug und auch dieses Jahr ist hier keine Ausnahme: Deshalb zählte die kriminelle APT-Gruppe Gaza-Cybergang auf dem SAS 2019 in Singapur zu einem unserer Gesprächsthemen.

Scharf bewaffnet

Die Gaza-Cybergang spezialisiert sich auf Cyberspionage und zeigt hauptsächliches Interesse an der Nahostregion sowie Ländern in Zentralasien. Im Mittelpunkt stehen hier vor allem Botschaften, Regierungsstellen, Medien und Journalisten, Aktivisten, politische Parteien und Einzelpersonen sowie Bildungseinrichtungen, Banken, Gesundheitsorganisationen und Vertragsunternehmen.

Unter Einsatz unterschiedlicher Werkzeuge und Techniken legen die Kriminellen bei ihren Angriffen besonderen Fokus auf die palästinensischen Gebiete, Jordanien, Israel und den Libanon.

Innerhalb der Cybergang selbst konnten unsere Experten drei weitere Gruppen identifizieren – zwei dieser Gruppen haben wir bereits auf unserem Blog behandelt: Zu ihnen gehören die beiden fortschrittlichen Einheiten Desert Falcons und Operation Parliament.

Die seit mindestens 2012 bekannte dritte Gruppe, MoleRATs, ist mit vergleichsweise simplen Tools ausgestattet, was ihre Operation SneakyPastes (abgeleitet von der starken Nutzung von Paste-Sites durch die Angreifer) allerdings nicht weniger gefährlich macht.

SneakyPastes

Die Kampagne ist mehrstufig. Sie beginnt mit Phishing-Angriffen, die über einmalig nutzbare E-Mail-Adressen und Domains verbreitet werden. In einigen Fällen enthalten die Nachrichten bösartige Links oder Anhänge; führt das Opfer die angehängte Datei aus (oder öffnet den beigefügten Link), wird das Gerät mit Malware, die zur Aktivierung der Infektionskette dient, infiziert.

Die E-Mails, die die Wachsamkeit des Empfängers außer Gefecht setzen sollen, sind meist politisch motiviert. Sie enthalten entweder Berichte über politische Verhandlungen oder die Adressen glaubwürdiger Organisationen.

Sobald die Malware der ersten Stufe ihren Weg sicher auf den Computer gefunden hat, versucht sie einer Erkennung zu entgehen und den Standort des Command-and-Control-Servers zu verbergen.

Für nachfolgende Angriffsstadien und für die Kommunikation mit dem Command-Server verwenden die Kriminellen frei verfügbare Dienste wie pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com und pomf.cat. Um die extrahierten Informationen schnellstmöglich zu übermitteln, verwenden sie für gewöhnlich mehrere Methoden gleichzeitig.

Abschließend wird das Gerät mit RAT-Malware infiziert, die leistungsstarke Funktionen bietet; so kann sie beispielsweise Dateien kostenlos herunter- und hochladen, Anwendungen ausführen, nach Dokumenten suchen und Informationen verschlüsseln.

Die Malware scannt den Computer des Opfers auf alle verfügbaren PDF-, DOC-, DOCX- und XLSX-Dateien, speichert diese in temporären Dateiordnern, klassifiziert, archiviert und verschlüsselt sie und sendet sie anschließend per Domainkette an einen Command-Server.

Tatsächlich konnten wir feststellen, dass bei dieser Art des Angriffs unterschiedliche Werkzeuge verwendet wurden. Weitere technische Details und Informationen finden Sie in diesem Beitrag auf Securelist.

Integrierter Schutz

Unsere Produkte sind dafür ausgelegt, die in der SneakyPastes-Kampagne verwendeten Komponenten erfolgreich zu bekämpfen. Folgende Tipps möchten wir Ihnen dennoch mit auf den Weg geben:

• Ihre Mitarbeiter sollten gefährliche E-Mails (sowohl Massenmails als auch zielgerichtete Nachrichten) identifizieren können. Unsere interaktive Plattform Kaspersky ASAP stellt nicht nur hilfreiche Informationen zu Verfügung, sondern trägt mit effektiven Online-Schulungsprogrammen auch zur Verbesserung des Sicherheitsbewusstseins bei.
• Verwenden Sie integrierte Lösungen, die im Hinblick auf komplexe und mehrstufige Angriffe entwickelt wurden. Um Angriffen auf Netzwerkebene zu widerstehen, empfehlen wir eine kombinierte Anwendung unserer Lösungen Kaspersky Anti Targeted Attack und Kaspersky Endpoint Detection and Response.
• Sollte in Ihrem Unternehmen ein dedizierter Informationssicherheitsdienst eingesetzt werden, empfehlen wir Ihnen, unsere geschlossenen Berichte über aktuelle Cyberbdrohungen usw. zu abonnieren. Senden Sie dafür bitte eine E-Mail an intelreports@kaspersky.com.