Kaspersky Security for Linux Mail Server Receives Highest

Werbung
Pressemitteilung: Neue Spear-Phishing-Kampagne hat ukrainische Einrichtungen im Visier
Neue Spear-Phishing-Kampagne hat
ukrainische Einrichtungen im Visier
Moskau/lngolstadt, 28. Januar 2016
Kaspersky Lab hat Hinweise auf eine zuvor unbekannte Attacke der russischsprachigen APTGruppe BlackEnergy entdeckt [1]. Die Experten des Unternehmens fanden ein Spear-PhishingDokument, in dem einerseits die ukrainisch-nationalistische Partei „Right Sector“ erwähnt wurde
und das andererseits im Zusammenhang mit einer Attacke gegen einen beliebten Fernsehsender
in der Ukraine auftauchte.
Bei BlackEngergy handelt es sich um einen hochdynamischen Bedrohungsakteur. Jüngste
Attacken in der Ukraine deuten darauf hin, dass es die Angreifer auf zerstörerische Aktionen
abgesehen haben. Hinzu kommen die Kompromittierung industrieller Steuerungsinstallationen
sowie Cyberspionageaktivitäten. Während BlackEnergy anfänglich auf bösartige DDoS-Software
setzte, verfügt die Gruppe nun über ein großes Arsenal an Tools. Diese wurden in verschiedenen
APT-typischen Aktivitäten (APT=Advanced Persistent Threat) eingesetzt, darunter geopolitische
Operationen wie beispielsweise eine Angriffswelle auf verschiedene kritische Bereiche der
Ukraine Ende des Jahres 2015.
Da BlackEnergy mehrere Male unentdeckt blieb, setzte der Akteur seine Aktivitäten fort und stellt
eine signifikante Gefahr dar.
Spear-Phishing mit Word- und Excel-Dateien
Seit Mitte des Jahres 2015 nutzt BlackEnergy aktiv Spear-Phishing-E-Mails, die ein maliziöses
Excel-Dokument mit Makros zur Infizierung von Computern innerhalb eines anvisierten Netzwerks
enthalten. Im Januar 2016 entdeckten die Experten von Kaspersky Lab ein neues bösartiges
Dokument, das Systeme mit dem BlackEnergy-Trojaner infiziert. Hierbei handelte es sich
allerdings nicht um ein Excel-, sondern um ein Word-Dokument.
Wird das Dokument geöffnet, wir dem Nutzer vorgeschlagen, Makros zu aktivieren, um die Inhalte
sehen zu können. Aktiviert man die Makros, wird die Malware-Infektion von BlackEnergy
ausgelöst.
Ist das Schadprogramm auf einem Opfercomputer aktiviert, sendet es Basisinformationen über
den infizierten Rechner an seinen Comand-and-Control-Server (C&C). Eine vom Schadprogramm
gesendete Information enthält eine Zeichenkette (String), die auf die Opfer-ID schließen lässt.
Das von den Kaspersky-Experten analysierte Dokument enthielt die Bezeichnung „301018stb“,
hierbei könnte „stb“ für den ukrainischen Fernsehsender STB [2] stehen. Die TV-Station wurde
zuvor als ein Opfer der BlackEnergy-Wiper-Attacken im Oktober 2015 genannt.
Pressemitteilung: Neue Spear-Phishing-Kampagne hat ukrainische Einrichtungen im Visier
Nach der Infektion können zusätzliche bösartige Module heruntergeladen werden. Die
Funktionen solcher zusätzlicher Nutzlasten hängen von der jeweils eingesetzten Trojaner-Version
ab und variieren von Cyberspionage bis zu Datenlöschungen.
„In der Vergangenheit hat die BlackEnergy-Gruppe Zielobjekte in der Ukraine über Excel- und
Power-Point-Dokumente anvisiert. Dass auch Word-Dokumente eingesetzt werden, konnte
erwartet werden und bestätigte unsere Vermutungen“, sagt Costin Raiu, Director Global
Research & Analysis Team bei Kaspersky Lab. „Generell sehen wir, dass die Nutzung von Makros
in Word-Dokumenten bei APT-Angriffen immer häufiger zum Einsatz kommen, beispielsweise
setzte auch die von uns beobachtete Turla-APT-Gruppe Dokumente mit Makros ein, um eine
ähnliche Attacke durchzuführen. Wir gehen daher davon aus, dass zahlreiche solcher Attacken
erfolgreich sind und daher bei den Angreifern auch immer beliebter werden.“
Frühere BlackEnergy-Attacken gegen Industrie- und
Energiesektor
Kaspersky Lab wurde auf die BlackEngergy bereits im Jahr 2014 aufmerksam. Damals begann
die Gruppe damit, SCADA-bezogene Plugins an Opfer aus dem Industrie- (ICS, Industrial Control
System) und den Energiesektor weltweit zu verbreiteten. Das führte zu der Folgerung, dass diese
Gruppe vor allem in den folgenden Bereichen aktiv ist:



ICS, Energie, staatliche Einrichtungen und Medien in der Ukraine
ICS/SCADA-Firmen weltweit
Energieunternehmen weltweit
Kaspersky Lab hat bereits über die im Zusammenhang mit BlackEnergy stehenden DDoSAttacken [3] sowie deren destruktive Nutzlasten, Ausnutzung von Siemens-Systemen [4] sowie
Router-Angriffs-Plugins [5] berichtet.
Die Lösungen von Kaspersky Lab erkennen die verschiedenen von BlackEnergy genutzten
Trojaner als „Backdoor.Win32.Fonten.*“ und „HEUR:Trojan-Downloader.Script.Generic“.
Details
über
die
BlackEnergy-APT-Gruppe
sind
https://securelist.com/blog/research/73440/blackenergy-apt-attacks-in-ukraine-employspearphishing-with-word-documents/ verfügbar.
unter
Informationen
über
die
Kaspersky
Intelligence
Services
http://www.kaspersky.com/de/enterprise-security/intelligence-services
unter
finden
sich
[1]
https://securelist.com/blog/research/73440/blackenergy-apt-attacks-in-ukraine-employ-spearphishing-with-word-documents/
[2]
http://www.stb.ua
[3] https://securelist.com/analysis/publications/36309/black-ddos/
[4] https://securelist.com/blog/research/68838/be2-extraordinary-plugins-siemens-targeting-dev-fails/
Pressemitteilung: Neue Spear-Phishing-Kampagne hat ukrainische Einrichtungen im Visier
[5]
https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/
Nützliche Links:


Analyse zu BlackEnergy: https://securelist.com/blog/research/73440/blackenergy-aptattacks-in-ukraine-employ-spearphishing-with-word-documents/
Kaspersky Intelligence Services: http://www.kaspersky.com/de/enterprisesecurity/intelligence-services
Über Kaspersky Lab
Kaspersky Lab ist ein global agierendes Cybersicherheitsunternehmen, das im Jahr 1997 gegründet
wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky Lab ist Basis für
Sicherheitslösungen und -Services zum Schutz von Unternehmen, kritischen Infrastrukturen, staatlichen
Einrichtungen sowie Privatanwendern weltweit. Das umfassende Sicherheitsportfolio des Unternehmens
beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services
zur Verteidigung vor komplexer und aufkommender Cyberbedrohungen. Mehr als 400 Millionen Nutzer und
270.000 Unternehmenskunden werden von den Technologien von Kaspersky Lab geschützt.
Weitere Informationen zu Kaspersky Lab finden Sie unter http://www.kaspersky.com/de/.
Kurzinformationen
erhalten
Sie
zudem
über
www.twitter.com/Kaspersky_DACH
und
www.facebook.com/Kaspersky.Lab.DACH. Aktuelles zu Viren, Spyware, Spam sowie Informationen zu
weiteren IT-Sicherheitsproblemen und -Trends sind unter www.viruslist.de und auf dem Kaspersky-Blog auf
http://blog.kaspersky.de/ abrufbar.
Redaktionskontakt:
essential media GmbH
Florian Schafroth
[email protected]
Tel.: +49-89-7472-62-43
Fax: +49-89-7472-62-17
Landwehrstraße 61
80336 München
Kaspersky Labs GmbH
Stefan Rojacher
[email protected]
Tel.: +49-841-98-189-325
Fax: +49-841-98-189-100
Despag-Straße 3
85055 Ingolstadt
© 2016 Kaspersky Lab. The information contained herein is subject to change without notice. The only warranties for Kaspersky Lab
products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein
should be construed as constituting an additional warranty. Kaspersky Lab shall not be liable for technical or editorial errors or
omissions contained herein.
Herunterladen