Cyberangriffe auf Partner des US-Verteidigungsministeriums
15. August 2017Die Angriffe, die von dieser Bedrohungsgruppe ausgehen, haben seit dem letzten Bericht von Palo Alto Networks nicht aufgehört und sich zuletzt bis Juli 2017 fortgesetzt. Auffällig ist die Wiederverwendung von Tools, Techniken und Prozeduren, die sich bei diesen Operationen mit nur wenigen Abweichungen überlappen. So haben die Forscher von Unit 42 in letzter Zeit „bewaffnete“ Microsoft-Office-Dokumentdateien identifiziert, die dieselben böswilligen Makros wie bei den Angriffen von Anfang dieses Jahres verwenden.
Was den Inhalt der aktuellen Köderdokumente betrifft, der einem Opfer nach dem Öffnen des manipulierten Dokuments angezeigt wurde, so haben die Angreifer ihre Zielgruppe von koreanisch– auf englischsprachige Zielpersonen verlagert. Die Dokumente enthalten jetzt Stellenbeschreibungen und interne Richtlinien von Unternehmen, die im Dienste des US-Verteidigungsministeriums stehen.
Diese Köderdokumente wurden auf Systemen gehostet, die wahrscheinlich zuvor kompromittiert wurden. Die in den Dokumenten transportierten Code sind den im Bericht vom April 2017 beschriebenen Inhalte sehr ähnlich. Der Quellcode, der in den Makros verwendet wurde, wurde ebenfalls in einem früheren Bericht detailliert beschrieben, basierend auf Testdokumenten, die auf VirusTotal hochgeladen wurden. Die Wiederverwendung betrifft Makro-Quellcodes und XOR-Schlüssel, die innerhalb des Makros dazu dienen, implantierte Codes zu dekodieren. Diese Details und die funktionale Überlappung in den Inhalten deuten hin auf die fortgesetzte Verwendung des gleichen automatisierten Tools zur Erstellung der bewaffneten Dokumente.
Die Techniken und Taktiken, die die Gruppe verwendet, haben sich bei den letzten Angriffen folglich kaum verändert. Trotz ihrer Entdeckung und öffentlichen Exposition haben die Bedrohungsakteure ihre Operationen fortgesetzt. Daher werden sie sich wahrscheinlich auch nicht davon abhalten lassen, weiterhin aktiv zu sein und gezielte Kampagnen zu starten. Palo Alto Networks wird die Überwachung der Aktivitäten dieser Gruppe fortsetzen, um auf dem Laufenden zu bleiben bezüglich weiteren Angriffen mit diesem Tool-Set. (rhh)