Gezielter Hackerangriff auf japanische und US-amerikanische Rüstungsunternehmen

Originalartikel von Nart Villeneuve, Senior Threat Researcher

 

Trend Micro hat eine Reihe von gezielten Angriffen auf Rüstungsunternehmen in Japan, Israel, Indien und den USA aufgedeckt. Dieses kriminelle Netzwerk ist bereits seit Juli aktiv und hat insgesamt 32 Computer mehrfach infiziert. Die Sicherheitsforscher konnten jetzt acht Opfer identifizieren, die davon in Kenntnis gesetzt werden. Die Analyse des mehrstufigen Angriffs auf eines der Unternehmen zeigt, dass der gekaperte Computer über einen C&C-Server (Command-and-Control) gesteuert wird und gleichzeitig mithilfe eines Remote-Access-Trojaners (RAT), der speziell für dieses Unternehmen gebaut wurde, auch direkt manipuliert wird.

Die Angreifer versendeten E-Mails mit einem verseuchten PDF-Anhang (TROJ_PIDIEF.EED), der eine Schwachstelle in bestimmten Versionen von Adobe Flash und Reader ausnutzt, um seine bösartige Ladung auf dem Zielcomputer abzulegen. Diese Malware (BKDR_ZAPCHAST.QZ) nimmt dann Verbindung mit einem C&C-Server auf und wartet auf weitere Befehle.

In einer zweiten Stufe des Angriffs erhält der infizierte Computer den Befehl, Netzwerkinformationen und Dateinamen aus bestimmten Verzeichnissen an den C&C-Server zurückzugeben. Bestimmte Zielcomputer sollten auch veränderte DLLs (von Trend Micro als BKDR_HUPIG.B identifiziert) herunterladen, die eine spezifische Funktionalität für die kompromittierten Systeme enthalten.

Damit konnten die Angreifer ins Netzwerk eindringen. Um sich im Netz frei bewegen zu können, brachten sie den infizierten Computer zum Herunterladen von verschiedenen Werkzeugen, einschließlich solchen mit “Pass-the-Hash“-Technik  zum Knacken von Kennwörtern. Danach erhielt der Computer den Befehl, einen RAT-Schädling (BKDR_HUPIGON.ZXS und BKDR_HUPIGON.ZUY) herunter zu laden, mit dessen Hilfe die Angreifer die Echtzeitkontrolle über das System übernehmen können.

Der RAT, MFC-Hunter genannt, besteht aus drei Komponenten:

  • Server – wird auf dem Opfersystem installiert und verbindet sich mit dem “Hub”,
  • Hub – wird auf einem anderen System installiert und dient als Proxy-Verbindung zwischen Opfer und Angreifer,
  • MFC – der RAT-Client, den die Angreifer für die Kontrolle über den Computer des Opfers nutzen.


Infolge dieses Angriffsaufbaus können die Kriminellen zwei separate Kontrollmethoden einsetzen. Die erste ermöglicht es, Befehle aufzusetzen, die bei Verbindung des gekaperten Computers mit dem C&C-Server ausgeführt werden. Die zweite führt zur Echtzeitkontrolle über die infizierten Systeme.

Zwar haben die Kriminellen eine relative kleine Anzahl von Opfern angegriffen, doch fällt die Fokussierung auf Rüstungsunternehmen auf. Hinzu kommt, dass bestimmte Malware-Komponenten speziell auf ein Unternehmen ausgerichtet sind, und das zeigt, wie zielgerichtet die Angreifer sind.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*