Pressemitteilung: Neue Spear-Phishing-Kampagne hat ukrainische Einrichtungen im Visier Neue Spear-Phishing-Kampagne hat ukrainische Einrichtungen im Visier Moskau/lngolstadt, 28. Januar 2016 Kaspersky Lab hat Hinweise auf eine zuvor unbekannte Attacke der russischsprachigen APTGruppe BlackEnergy entdeckt [1]. Die Experten des Unternehmens fanden ein Spear-PhishingDokument, in dem einerseits die ukrainisch-nationalistische Partei „Right Sector“ erwähnt wurde und das andererseits im Zusammenhang mit einer Attacke gegen einen beliebten Fernsehsender in der Ukraine auftauchte. Bei BlackEngergy handelt es sich um einen hochdynamischen Bedrohungsakteur. Jüngste Attacken in der Ukraine deuten darauf hin, dass es die Angreifer auf zerstörerische Aktionen abgesehen haben. Hinzu kommen die Kompromittierung industrieller Steuerungsinstallationen sowie Cyberspionageaktivitäten. Während BlackEnergy anfänglich auf bösartige DDoS-Software setzte, verfügt die Gruppe nun über ein großes Arsenal an Tools. Diese wurden in verschiedenen APT-typischen Aktivitäten (APT=Advanced Persistent Threat) eingesetzt, darunter geopolitische Operationen wie beispielsweise eine Angriffswelle auf verschiedene kritische Bereiche der Ukraine Ende des Jahres 2015. Da BlackEnergy mehrere Male unentdeckt blieb, setzte der Akteur seine Aktivitäten fort und stellt eine signifikante Gefahr dar. Spear-Phishing mit Word- und Excel-Dateien Seit Mitte des Jahres 2015 nutzt BlackEnergy aktiv Spear-Phishing-E-Mails, die ein maliziöses Excel-Dokument mit Makros zur Infizierung von Computern innerhalb eines anvisierten Netzwerks enthalten. Im Januar 2016 entdeckten die Experten von Kaspersky Lab ein neues bösartiges Dokument, das Systeme mit dem BlackEnergy-Trojaner infiziert. Hierbei handelte es sich allerdings nicht um ein Excel-, sondern um ein Word-Dokument. Wird das Dokument geöffnet, wir dem Nutzer vorgeschlagen, Makros zu aktivieren, um die Inhalte sehen zu können. Aktiviert man die Makros, wird die Malware-Infektion von BlackEnergy ausgelöst. Ist das Schadprogramm auf einem Opfercomputer aktiviert, sendet es Basisinformationen über den infizierten Rechner an seinen Comand-and-Control-Server (C&C). Eine vom Schadprogramm gesendete Information enthält eine Zeichenkette (String), die auf die Opfer-ID schließen lässt. Das von den Kaspersky-Experten analysierte Dokument enthielt die Bezeichnung „301018stb“, hierbei könnte „stb“ für den ukrainischen Fernsehsender STB [2] stehen. Die TV-Station wurde zuvor als ein Opfer der BlackEnergy-Wiper-Attacken im Oktober 2015 genannt. Pressemitteilung: Neue Spear-Phishing-Kampagne hat ukrainische Einrichtungen im Visier Nach der Infektion können zusätzliche bösartige Module heruntergeladen werden. Die Funktionen solcher zusätzlicher Nutzlasten hängen von der jeweils eingesetzten Trojaner-Version ab und variieren von Cyberspionage bis zu Datenlöschungen. „In der Vergangenheit hat die BlackEnergy-Gruppe Zielobjekte in der Ukraine über Excel- und Power-Point-Dokumente anvisiert. Dass auch Word-Dokumente eingesetzt werden, konnte erwartet werden und bestätigte unsere Vermutungen“, sagt Costin Raiu, Director Global Research & Analysis Team bei Kaspersky Lab. „Generell sehen wir, dass die Nutzung von Makros in Word-Dokumenten bei APT-Angriffen immer häufiger zum Einsatz kommen, beispielsweise setzte auch die von uns beobachtete Turla-APT-Gruppe Dokumente mit Makros ein, um eine ähnliche Attacke durchzuführen. Wir gehen daher davon aus, dass zahlreiche solcher Attacken erfolgreich sind und daher bei den Angreifern auch immer beliebter werden.“ Frühere BlackEnergy-Attacken gegen Industrie- und Energiesektor Kaspersky Lab wurde auf die BlackEngergy bereits im Jahr 2014 aufmerksam. Damals begann die Gruppe damit, SCADA-bezogene Plugins an Opfer aus dem Industrie- (ICS, Industrial Control System) und den Energiesektor weltweit zu verbreiteten. Das führte zu der Folgerung, dass diese Gruppe vor allem in den folgenden Bereichen aktiv ist: ICS, Energie, staatliche Einrichtungen und Medien in der Ukraine ICS/SCADA-Firmen weltweit Energieunternehmen weltweit Kaspersky Lab hat bereits über die im Zusammenhang mit BlackEnergy stehenden DDoSAttacken [3] sowie deren destruktive Nutzlasten, Ausnutzung von Siemens-Systemen [4] sowie Router-Angriffs-Plugins [5] berichtet. Die Lösungen von Kaspersky Lab erkennen die verschiedenen von BlackEnergy genutzten Trojaner als „Backdoor.Win32.Fonten.*“ und „HEUR:Trojan-Downloader.Script.Generic“. Details über die BlackEnergy-APT-Gruppe sind https://securelist.com/blog/research/73440/blackenergy-apt-attacks-in-ukraine-employspearphishing-with-word-documents/ verfügbar. unter Informationen über die Kaspersky Intelligence Services http://www.kaspersky.com/de/enterprise-security/intelligence-services unter finden sich [1] https://securelist.com/blog/research/73440/blackenergy-apt-attacks-in-ukraine-employ-spearphishing-with-word-documents/ [2] http://www.stb.ua [3] https://securelist.com/analysis/publications/36309/black-ddos/ [4] https://securelist.com/blog/research/68838/be2-extraordinary-plugins-siemens-targeting-dev-fails/ Pressemitteilung: Neue Spear-Phishing-Kampagne hat ukrainische Einrichtungen im Visier [5] https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/ Nützliche Links: Analyse zu BlackEnergy: https://securelist.com/blog/research/73440/blackenergy-aptattacks-in-ukraine-employ-spearphishing-with-word-documents/ Kaspersky Intelligence Services: http://www.kaspersky.com/de/enterprisesecurity/intelligence-services Über Kaspersky Lab Kaspersky Lab ist ein global agierendes Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky Lab ist Basis für Sicherheitslösungen und -Services zum Schutz von Unternehmen, kritischen Infrastrukturen, staatlichen Einrichtungen sowie Privatanwendern weltweit. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung vor komplexer und aufkommender Cyberbedrohungen. Mehr als 400 Millionen Nutzer und 270.000 Unternehmenskunden werden von den Technologien von Kaspersky Lab geschützt. Weitere Informationen zu Kaspersky Lab finden Sie unter http://www.kaspersky.com/de/. Kurzinformationen erhalten Sie zudem über www.twitter.com/Kaspersky_DACH und www.facebook.com/Kaspersky.Lab.DACH. Aktuelles zu Viren, Spyware, Spam sowie Informationen zu weiteren IT-Sicherheitsproblemen und -Trends sind unter www.viruslist.de und auf dem Kaspersky-Blog auf http://blog.kaspersky.de/ abrufbar. Redaktionskontakt: essential media GmbH Florian Schafroth [email protected] Tel.: +49-89-7472-62-43 Fax: +49-89-7472-62-17 Landwehrstraße 61 80336 München Kaspersky Labs GmbH Stefan Rojacher [email protected] Tel.: +49-841-98-189-325 Fax: +49-841-98-189-100 Despag-Straße 3 85055 Ingolstadt © 2016 Kaspersky Lab. The information contained herein is subject to change without notice. The only warranties for Kaspersky Lab products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. Kaspersky Lab shall not be liable for technical or editorial errors or omissions contained herein.