Pawn Storm leitet C&C auf Trend Micro IP-Adresse um

Originalbeitrag von Trend Micro

Bei der Überwachung der Operation Pawn Storm (deutsch: „Operation Bauernsturm“) fanden die Sicherheitsforscher heraus, dass die Domäne, die vorher den Java Zero-Day der letzten Kampagne hostete, modifiziert und nun auf eine Trend Micro IP-Adresse umgeleitet worden war. Die Recherche ergab, dass die anbietereigenen Systeme nicht angegriffen oder kompromittiert wurden.

Die Angreifer hatten einfach einen DNS-Record auf die Trend Micro IP-Adresse umgesetzt, wahrscheinlich als Reaktion auf die Veröffentlichung der Lücke und Oracles nachfolgendem Patch dafür.


Bild 1. Änderung in der Pawn Storm Infektionskette

Der DNS A Record der Domäne ausameetings[.]com zeigt nun auf 216.104.20.189, eine IP-Adresse von Trend Micro. Ursprünglich war die IP-Adresse der Domäne, die den Exploit enthielt, 95[.]215[.]45[.]189.


Bild 2. DNS A Record von ausameetings[.]com

Es lässt sich nicht genau sagen, wann die Änderung vorgenommen wurde, doch war es wahrscheinlich der 14. Juli. Die Gründe dafür könnten die folgenden sein:

  • Eine Art Rache der Pawn Storm-Akteure an Trend Micro für die Veröffentlichung der Einzelheiten über ihre neueste Kampagne,
  • Irreführung von Netzwerkadministratoren, die die Trend Micro IP-Adresse mit dem Angriff in Verbindung bringen sollten, um diese dann zu blocken,
  • Sicherheitsforscher zur Annahme zu verleiten, die Trend Micro IP-Adresse sei kompromittiert oder von Operation Pawn Storm missbraucht worden.

Es mutet seltsam an, dass die Forscher keine Spuren einer Infektion oder des Missbrauchs gefunden haben. Operation Pawn Storm ist dafür bekannt, vor allem Regierungsbehörden anzugreifen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.