Trellix Threat Labs-Forschungsbericht: April 2022

Brief unseres Lead Scientist

Willkommen bei unserem neuesten Threats-Report.

Das 1. Quartal des neuen Jahres ist fast vorbei und wir können nicht wirklich behaupten, dass der Jahresanfang einfach war. Wir lassen die Pandemie zwar langsam hinter uns, aber die Ungewissheit wegen der jüngsten Konflikte in Eurasien beherrscht unseren Alltag und unsere Gespräche.

Trellix steht für Frieden. Ganz gleich, welche Parteien an einem Konflikt beteiligt sind – unsere Mission ist es, unsere Kunden zu schützen und die Einhaltung internationaler Gesetze sicherzustellen. Auch während der Vorbereitung dieses Berichts haben wir weiter geforscht und waren wachsam. Die Lapsus$-Gruppe hat beispielsweise große Unternehmen auf der ganzen Welt angegriffen, wobei der anfängliche Fokus auf Zielen in Südamerika lag. Bei diesen Angriffen wurden sensible Daten wie Quellcodes und Zertifikate offengelegt.

Wir haben beobachtet, dass diese Zertifikate z. B. zum Signieren von Malware-Binärdateien missbraucht wurden, um so die Vertrauenswürdigkeitsprüfungen von Betriebssystemen und Sicherheitsprodukten zu umgehen. Details zu dieser Gruppe, ihrer jüngsten Kompromittierung sowie zu Gegenmaßnahmen finden Sie hier.

In unserem zweiten Threats-Report seit der Gründung unseres neuen Unternehmens behandeln wir die Cyber-Sicherheitsereignisse, die weltweit die Schlagzeilen beherrschten. Von Angriffen auf ukrainische Infrastruktur bis hin zu HermeticWiper-Malware, die die Boot-Sektoren infizierter Maschinen vernichtet – Cyber-Sicherheit war für viele im neuen Jahr von zentraler Bedeutung. Wir blicken auch zurück auf das 4. Quartal 2021, in dem Hunderte Millionen Geräte von der Log4Shell-Sicherheitslücke betroffen waren, und viele bereiten sich jetzt auf neue Bedrohungen im laufenden Jahr vor.

Das Trellix Threat Labs-Team ist seit vielen Jahren aktiv an der Analyse und Untersuchung von Ransomware-Varianten beteiligt. Wir haben mit staatlichen Stellen zusammengearbeitet und sind stolz, dass im Dezember 2021 böswillige Akteure festgenommen und Ransomware-Operationen stillgelegt werden konnten. Die jüngsten Leaks von Chats der Conti-Ransomware-Gruppe und der Trickbot-Malware-Gruppe haben gezeigt, wie professionell diese Operationen ablaufen. Es verdeutlicht, dass diese Angriffe nur durch gemeinsame Reaktionen des öffentlichen und privaten Sektors gestoppt werden können.

In unserem Trellix Threat Labs-Blog stellen wir Ihnen darüber hinaus unsere neuesten Bedrohungsinformationen, Videos und Links zum Sicherheitsbulletin zur Verfügung.

Darüber hinaus beleuchtet dieser Bericht auch andere weit verbreitete Bedrohungen und Angriffe.

– Christiaan Beek
Lead Scientist

Christiaan Beek Twitter

Trellix Threat Labs entdeckt vermutlich neue DarkHotel-APT-Aktivitäten

Im März hat Trellix die erste Phase einer böswilligen Kampagne aufgedeckt, die seit der 2. Novemberhälfte 2021 auf Luxushotels in Macao, China, abzielt. Der Angriff begann mit einer Spearphishing-E-Mail an das Management der Hotels, also an Rollen wie Vice President of HR, Assistant Manager und Front-Office-Manager. Basierend auf den Positionen können wir davon ausgehen, dass die ins Visier genommenen Personen über weitreichenden Zugriff auf das Netzwerk des Hotels, einschließlich der Buchungssysteme verfügen. Und so sind die Angreifer vorgegangen:

• Die für diesen Spearphishing-Angriff verwendete E-Mail enthält eine Excel-Datei, in die böswillige Makros integriert sind. Wenn das Opfer die Excel-Datei öffnet, werden diese Makros aktiviert.
• Daraufhin aktivieren diese Makros verschiedene Mechanismen, die im Abschnitt zur technischen Analyse detailliert erläutert und im Diagramm zum Ablauf der Infektion zusammengefasst werden.
• Zuerst erstellen die Makros eine geplante Aufgabe für die Erkennung, Auflistung und Exfiltrierung von Daten.
• Für die Kommunikation mit dem Befehls- und Steuerungs-Server (Command-and-Control Server, C & C), über den die Daten des Opfers exfiltriert werden, verwenden die Makros dann eine bekannte LOLBAS-Technik (Living Off the Land Binaries and Scripts), um PowerShell-Befehlszeilen als vertrauenswürdiges Skript auszuführen.

In unserem Blog finden Sie weitere Informationen zu den Hintergründen sowie zur Attribution, Kampagne und technischen Analyse der DarkHotel-APT.

Trellix Threat Labs deckt Kompromittierung des Büros des Premierministers auf

Im Januar gab unser Team bekannt, dass es eine mehrstufige Spionage-Kampagne identifiziert hat, bei der in Westasien hochrangige Regierungsvertreter für den Bereich nationale Sicherheitsrichtlinien und Personen aus dem Verteidigungssektor ins Visier genommen wurden. Trellix hat die Opfer vor der Veröffentlichung informiert und ihnen alle nötigen Inhalte bereitgestellt, damit sie alle bekannten Angriffskomponenten aus ihren Umgebungen entfernen konnten.

Unsere Analyse hat ergeben, dass der Angriff mit der Ausführung einer Excel-Datei beginnt, die einen Exploit für die MSHTML-Remote-Code-Ausführungsschwachstelle (CVE-2021-40444) enthält. Dies dient der Ausführung einer böswilligen DLL-Datei, die als Downloader für die Malware der dritten Stufe namens Graphite fungiert. Graphite ist eine vor Kurzem entdeckte Malware-Variante, die sich auf einen OneDrive Empire-Stager stützt und OneDrive-Konten über die Microsoft Graph-API als Befehls- und Steuerungs-Server nutzt.

Die letzten Phasen dieses mehrstufigen Angriffs, der unserer Meinung nach mit APT-Aktivitäten zusammenhängt, umfassen die Ausführung verschiedener Empire-Stager, um schlussendlich einen Empire-Agenten auf die Computer der Opfer herunterzuladen und den Befehls- und Steuerungs-Server einzuschalten, damit die Systeme remote gesteuert werden können.

Die folgende Grafik veranschaulicht den allgemeinen Prozess dieses Angriffs.

Eine detailliertere Analyse der Phasen, Infrastruktur und Attribution finden Sie in unserem Blog.

Methoden

Die Backend-Systeme von Trellix stellen Telemetriedaten bereit, die wir als Input für unsere vierteljährlichen Threats-Reports nutzen. Wir kombinieren unsere Telemetriedaten mit Open-Source-Daten zu Bedrohungen und unseren eigenen Untersuchungen weit verbreiteter Bedrohungen wie Ransomware, Aktivitäten staatlicher Akteure usw.

Bei Telemetrie geht es um Erkennungen, nicht um Infektionen. Eine Erkennung liegt vor, wenn eines unserer Produkte eine Datei, URL, IP-Adresse oder einen anderen Indikator erkennt und dies an uns meldet.

Die Privatsphäre unserer Kunden ist uns immer wichtig, auch bei der Telemetrie und Abbildung der Sektoren und Länder unserer Kunden. Der Kundenstamm variiert je nach Land und es ist möglich, dass die Zahlen zwar einen Anstieg zeigen, wir uns die Daten aber genauer ansehen müssen, um sie richtig interpretieren zu können. Der Telekommunikationssektor liegt in unseren Daten beispielsweise immer weit oben. Das muss aber nicht zwangsläufig bedeuten, dass dieser Sektor übermäßig häufig angegriffen wird. Der Telekommunikationssektor umfasst auch Internetdienstanbieter (Internet Service Provider, ISP) mit eigenen IP-Adressräumen, die von Unternehmen erworben werden können. Das bedeutet, dass Meldungen aus dem IP-Adressraum des ISP zwar als Erkennungen für den Telekommunikationsbereich gewertet werden, aber von ISP-Kunden stammen könnten, die in einem anderen Sektor tätig sind.

Ransomware

Im 4. Quartal 2021 hat sich die Ransomware-Landschaft weiter verändert. Anstelle der groß angelegten Angriffe, die wir in unserem vorherigen Bericht beschrieben haben, mussten Ransomware-Akteure sich eine neue Basis im Untergrund suchen und die Strafverfolgungsbehörden konnten allmählich gegen verschiedene hochkarätige Ransomware-Gruppen vorgehen. Eine dieser Gruppen war REvil/Sodinokibi, die im 3. Quartal noch zu den bedeutendsten Ransomware-Familien gehörte. Nach einer koordinierten Stilllegung ihrer Infrastruktur, internen Streitigkeiten und der Festnahme von Mitgliedern ist REvil aber von der Bildfläche verschwunden. Trellix ist stolz, durch Malware-Analysen, das Aufspüren wichtiger Infrastruktur und die Identifizierung mehrerer Verdächtiger zu den Ermittlungen gegen die REvil-Gruppe beigetragen zu haben.

Im 4. Quartal 2021 führten Lockbit, Cuba und Conti unsere Top 3 der Ransomware-Familien an. Wir gehen davon aus, dass die verbliebenen Mitglieder der REvil-Gruppe wahrscheinlich bei diesen Ransomware-Familien untergekommen sind.

Dieser Bericht war kaum fertig gestellt, schon hatte sich die Bedrohungslandschaft erneut verändert. Tausende der internen Chats von Conti – mittlerweile eine der größten Ransomware-Familien – wurden im Internet geleakt, wodurch Geheimnisse von Conti offenbart wurden. Wir haben dieses Datenleck die "Panama Papers der Ransomware" getauft und werden unsere Erkenntnisse in den nächsten vierteljährlichen Bericht aufnehmen.

Um Unternehmen bei der Analyse und Abwehr von Ransomware-Angriffen in der Bedrohungslandschaft zu unterstützen, präsentiert unser Threat Labs-Team seine Forschung und Ergebnisse in Bezug auf die Verbreitung vieler verschiedener Ransomware-Bedrohungen im 4. Quartal 2021, einschließlich Familien, Techniken, Ländern, Sektoren und Vektoren.