![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/04\/06133652\/cozyduke-apt-featured.png\")
<\/p>\nErneut zielt eine Advanced Persistent Threat (APT) der Duke-Familie auf profilierte Opfer ab \u2013 unter anderem die US-Regierung. Diesmal ist es CozyDuke, auch bekannt als CozyBear, CozyCar oder (in Anlehnung an das Video, das die Attacke als K\u00f6der nutzt) Office Monkeys.<\/p>\n
<\/p>\n
Der Angriff ist bemerkenswert ausgefeilt, inklusive verschl\u00fcsselter Komponenten, Anti-Entdeckungs-F\u00e4higkeiten und ziemlich gut entwickelter Schadprogrammkomponenten, die strukturelle \u00c4hnlichkeiten mit den fr\u00fcheren MiniDuke-, CosmicDuke- und OnionDuke-Bedrohungen aufweisen.<\/p>\n
Wirklich erw\u00e4hnenswert ist aber, dass die Attacke in der ersten Angriffswelle komplett auf Social-Engineering-Methoden setzt. Und leider ist das bei vielen Angriffszielen recht erfolgreich.<\/p>\n
Die Angreifer bieten ein extrem lustiges Video \u00fcber im B\u00fcro arbeitende Affen als K\u00f6der. Die Archivdatei, inklusive einem ausf\u00fchrbaren Video, wird per Spear-Phishing-Mails ausgeliefert, die einen Anhang oder einen Link zu einer Webseite enthalten \u2013 manchmal zu einer legitimen und sogar hoch respektierten Webseite, die kompromittiert worden ist.<\/p>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/04\/06133650\/monkeys.png\")
<\/p>\n
W\u00e4hrend das Video l\u00e4uft, wird heimlich der Dropper der Attacke installiert und ist dann bereit, Kommandos und Schadprogrammkomponenten der zweiten Angriffswelle von den Command-&-Control-Servern zu empfangen.<\/p>\n
Die Cyberkriminellen hatten sich nicht get\u00e4uscht, dass viele der Empf\u00e4nger das Video starten w\u00fcrden. Und sie schauten es nicht nur selbst an, sondern leiteten es auch an Kollegen weiter, so dass sie bei der Verbreitung des Sch\u00e4dlings sogar noch halfen. Wenn man den Status der angegriffenen Zielpersonen bedenkt, kann man sich vorstellen, wie viele vertrauliche Informationen damit potenziell gestohlen werden konnten.<\/p>\n
Die Frage ist also: Wie kann man sich vor so einer Bedrohung sch\u00fctzen, wenn sogar die vertrauensw\u00fcrdigsten Angestellten gegen die sorgf\u00e4ltig aufgebauten Sicherheitsma\u00dfnahmen arbeiten? Man sollte niemals die Macht des Social Engineering untersch\u00e4tzen. Wie viele loyale Angestellte w\u00fcrden sich schon str\u00e4uben einen Link in einer (sorgf\u00e4ltig gef\u00e4lschten) E-Mail ihres Chefs anzuklicken?<\/p>\n
Es gibt mehrere grundlegende Sicherheitsma\u00dfnahmen, die auch vor den anspruchsvollsten und sorgf\u00e4ltigst geplanten APTs sch\u00fctzen. So kann ein einfaches Entziehen von Administratorrechten zusammen mit dem rechtzeitigen Schlie\u00dfen von Sicherheitsl\u00fccken mit Patches und der Beschr\u00e4nkung erlaubter Programme bis zu 85 Prozent der durch zielgerichtete Attacken ausgel\u00f6sten Vorf\u00e4lle verhindern.<\/p>\n
Die Programmkontrolle von Kaspersky Lab mit ihrem dynamischen Allowlisting ist dabei eine gro\u00dfe Hilfe. Das Monkey-Video \u2013 genau wie die anderen Schadprogrammkomponenten von CozyDuke \u2013 h\u00e4tte sich nicht ohne Erlaubnis des Systemadministrators starten k\u00f6nnen.<\/p>\n
\nThe White House, US State Department and others are counted among #CozyDukeAPT<\/a> victims \u2013 http:\/\/t.co\/nXaf9mj6cK<\/a> pic.twitter.com\/FSRwlgClmD<\/a><\/p>\n
\u2014 Kaspersky (@kaspersky) April 24, 2015<\/a><\/p><\/blockquote>\n