Zwei gezielte Angriffskampagnen von Rocket Kitten

Originalartikel von Cedric Pernet, Threat Researcher

Die Bedrohungsforscher von Trend Micro konnten zwei verschiedene Kampagnen beobachten, die beide von derselben cyberkriminellen Gruppe Rocket Kitten durchgeführt worden waren.

Die erste dieser Kampagnen wurde bereits auf dem 31C3 (31st Chaos Communication Congress) von Tillman Werner und Gadi Evron vorgestellt. Die Kampagne startete mit traditionellen Spear Phishing E-Mails, die mit grundlegenden Social Engineering-Techniken gezielt versuchten, potenzielle Opfer dazu zu bringen, eine Microsoft Office-Datei zu öffnen. Gelingt dies, so wird der Nutzer dazu aufgefordert, Makros Zugang zum Inhalt zu gewähren. Danach wird eine Köderdatei angezeigt, während die GHOLE-Schadsoftware heimlich den Computer infiziert. So kann der Angreifer per Fernzugriff auf die Maschine ins Netzwerk eindringen.

Diese Infektionstechnik zieht bei einigen gutgläubigen Nutzern, doch aus Sicht der Angreifer ist sie nicht befriedigend, weil sie die Nutzerinteraktion voraussetzt.

Operation Woolen Goldfish

Das ist wahrscheinlich der Hauptgrund, warum die Angreifer kürzlich eine neue Kampagne namens Operation Woolen Goldfish starteten, die erhebliche Verbesserungen in Taktik, Techniken und Prozeduren aufweist.

Zum einen ist der Spear Phishing-Inhalt selbst besser, denn die Angreifer nutzen zum Beispiel die Identitäten hochkarätiger Persönlichkeiten aus Israel, um exklusive Inhalte in den Köderdateien zu präsentieren.

Auch hat sich das Infektionsschema geändert: Die Spear-Phishing E-Mail enthält einen Link auf eine Datei, die in einem kostenlosen Online Speicherservice lagert. Die gespeicherte Datei ist eine Archivdatei, die eine ausführbare Datei enthält, die vorgibt, ein PowerPoint-Dokument zu sein. Wird die Datei angeklickt, so infiziert das Binary das Ziel mit einer ganz neuen Malware, TSPY_WOOLERG.A, die von einem Mitglied der cyberkriminellen Gruppe entwickelt worden ist. wool3n.h4t war bereits in der ersten Kampagne aktiv.


Bild 1. Ein Vergleich zwischen Operation Woolen Goldfish und der früheren Rocket Kitten-Kampagne

Diese zweite Kampagne zeigt wie bereits die erste, dass die Ziele ein besonderes Interesse an der islamischen Republik Iran haben. Auch wenn die Motivation für die gezielten Angriffe unterschiedlich ist, so bleibt das Ergebnis doch gleich: Ein Machtwechsel sei es politischer oder wirtschaftlicher Art.

Weitere Details zu Operation Woolen-Goldfish und weitere Kampagnen liedert das Trend Micro-Whitepaper Operation Woolen-Goldfish: When Kittens Go Phishing.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*