Unsere Experten sind den Aktivit\u00e4ten einer neuen cyberkriminellen Gruppe auf die Schliche gekommen, die Industrieunternehmen ausspioniert. Dabei f\u00fchren die Kriminellen zielgerichtete Angriffe mit einem Tool durch, dass wir als \u201eMontysThree\u201c bezeichnen. Die Angreifer suchen dabei nach sensiblen Dokumenten auf den Rechnern der Opfer. Die Aktivit\u00e4t der Gruppe geht bis ins Jahr 2018 zur\u00fcck.<\/p>\n
Die Cyberkriminellen nutzen klassische Spear-Phishing-Techniken, um in die Computer der Opfer einzudringen. Nachdem das Opfer kompromittiert wurde, senden die Angreifer E-Mails mit ausf\u00fchrbaren Dateien an Mitarbeiter von Industrieunternehmen. Die gef\u00e4hrlichen Dateien sehen wie harmlose PDF bzw. Word-Dateien aus, die oftmals g\u00e4ngige Bezeichnungen f\u00fcr technische Dokumentationen oder Kontaktinformationen der Mitarbeiter des Unternehmens tragen. In einigen F\u00e4llen versuchen die Angreifer, die Dateien durch Dateinamen wie \u201eAuswertungen der Proben\u201c\u00a0 oder \u201eInvitro-106650152-1.pdf\u201c wie medizinische Berichte aussehen zu lassen (Invitro ist eines der gr\u00f6\u00dften Medizinlabore Russlands).<\/p>\n
MontysThrees hat es auf spezifische Microsoft Office und Adobe Acrobat Dokumente abgesehen, die in verschiedenen Verzeichnissen und Peripherie-Ger\u00e4ten gespeichert sind. Nach einer Infektion erstellt die Malware ein Profil des Computers des Opfers und sendet Daten wie Systemversion, Prozesse und Desktop-Screenshots an den C&C-Server<\/a>. Auch eine Liste aller k\u00fcrzlich ge\u00f6ffneten Dokumente vom Typ doc, .docx, .xls, .xlsx, .rtf , .pdf, .odt, .psw und .pwd, die im Benutzerprofil (USERPROFILE) sowie im Anwendungsverzeichnis (APPDATA) gespeichert sind, werden an die Betr\u00fcger weitergeleitet.<\/p>\n In der Malware finden sich mehrere ungew\u00f6hnliche Mechanismen wieder. So extrahiert und entschl\u00fcsselt der Loader nach einer Infektion das Hauptmodul der Malware, das mittels Steganografie<\/a> verborgen wird. Unsere Experten gehen davon aus, dass die Angreifer den Steganografie-Algorithmus von Grund auf neu geschrieben haben, statt sich einer Open-Source-Vorlage zu bedienen, was sonst meistens der Fall ist.<\/p>\n Das Kommunikationsmodul der Malware kommuniziert \u00fcber \u00f6ffentliche Cloud-Dienste wie Google, Microsoft, Dropbox und WebDAV mit dem C&C-Server, aber auch Anfragen \u00fcber RDP und Citrix sind m\u00f6glich. Dar\u00fcber hinaus haben die Malware-Ersteller keine Kommunikationsprotokolle in ihren Code eingebettet. Stattdessen verwendet MontyThree legitime Programme (RDP, Citrix-Clients, Internet Explorer) zur Kommunikation.<\/p>\n Um ihre eigene Persistenz im System zu steigern, modifiziert ein Hilfsmodul der Malware die Verkn\u00fcpfungen in der Schnellstartleiste von Windows. Jedes Mal, wenn der Benutzer also eine Verkn\u00fcpfung \u00f6ffnet, startet er unwissentlich auch den MontyThree-Loader.<\/p>\n Unsere Experten k\u00f6nnen die Angreifer, die hinter MontysThree stehen, nicht mit anderen Angriffen aus der Vergangenheit in Verbindung bringen. Allem Anschein nach handelt es sich um eine v\u00f6llig neue cyberkriminelle Gruppe, die basierend auf den Textbausteinen des Malwarecodes Russisch spricht. Dadurch liegt die Annahme nahe, dass russischsprachige Unternehmen h\u00f6chstwahrscheinlich ihr Prim\u00e4rziel darstellen. Unterst\u00fctzt wird dieser Verdacht durch die Verzeichnisse, die die Malware untersucht, denn einige von ihnen existieren nur in der kyrillischen Version des Betriebssystems. Obwohl unsere Experten auch Kontodaten f\u00fcr chinesische Kommunikationsdienste gefunden haben, gehen sie davon aus, dass sich es hierbei um eine absichtliche falsche F\u00e4hrte handelt, die die Spuren der Angreifer verwischen soll.<\/p>\n Sie finden eine detaillierte technische Beschreibung von MontysThree sowie die Kompromittierungsindikatoren<\/a> in unserem Securelist-Beitrag.<\/p>\n Erkl\u00e4ren Sie allen Mitarbeitern zun\u00e4chst einmal, dass gezielte Angriffe meistens mit einer E-Mail beginnen. Sie m\u00fcssen sehr vorsichtig beim \u00d6ffnen von Dateien sein, insbesondere wenn es sich um Dateien handelt, die sie nicht erwarten. Um sicherzugehen, dass Mitarbeiter verstehen, warum man wachsam bleiben muss, empfehlen wir, nicht nur \u00fcber die Gefahren der Unachtsamkeit aufzukl\u00e4ren. Das F\u00f6rdern von Cybersicherheitskenntnissen ist n\u00e4mlich genauso wichtig, um Cybergefahren entgegenzuwirken. Kaspersky Automated Security Awareness Platform<\/a> hilft dabei.<\/p>\n\nWeitere F\u00e4higkeiten von MontysThree<\/h2>\n
Wer steckt hinter MontysThree?<\/h2>\n
Wie man sich sch\u00fctzt<\/h2>\n