Gamaredon APT-Guppe setzt auf Covid-19 als Köder

Originalbeitrag von Hiroyuki Kakara and Erina Maruyama

Die Advanced Persistent Threat (APT)-Gruppe Gamaredon ist seit 2013 aktiv und war bislang generell für Angriffe auf ukrainische Regierungsinstitutionen bekannt. Doch kürzlich fanden die Sicherheitsforscher von Trend Micro Mails mit einem Anhang, der die Taktik von Gamaredon nutzte, dabei das Thema Coronavirus als Köder einsetzte, um die Opfer dazu zu verleiten, den Anhang zu öffnen. Die Kampagnen hatten europäische und andere Nutzer zum Ziel.

Bild. Infektionsablauf in der Gamaredon-Kampagne

Im Fall der von Trend Micro entdeckten Mail, startet beim Öffnen des Dokuments im Anhang der Download eines Templates für ein Dokument, das den bösartigen Makro-Code enthält, der wiederum ein VBScript (VBS) ausführt. Zudem gab es einen Mechanismus zum Entschlüsseln, Ausführen und Herunterladen einer zusätzlichen Payload vom C&C-Server. Der C&C-Server war jedoch nicht zugänglich, so dass die Forscher keine zusätzlichen Payloads erhalten konnten.

Alle Angriffe wurden über gezielte Emails durchgeführt (MITRE ATT&CK Framework ID T1193), wobei einer gar den Betreff „Coronavirus (2019-nCoV)“ hatte. Technische Einzelheiten zu den Angriffen umfasst der Originalbeitrag.

Fazit

Gamaredon ist nur eine von vielen Gruppen, die in ihren Angriffen auf COVID-19 als Köder zurückgreift. Informieren Sie sich über weitere Kampagnen, die die Pandemie missbrauchen.

Nutzer können sich vor ähnlichen APT-Angriffen mit folgenden Best Practices schützen:

  • Überprüfen des Mail-Absenders, -Betreffs sowie der Nachricht auf verdächtige Anzeichen, bevor ein Anhang geöffnet oder heruntergeladen wird. Besondere Sorgfalt ist bei Mails geboten, die nicht angefordert wurden und/oder unbekannte Absender haben.
  • Prüfen der Datei-Extension im Anhang, um sicherzugehen, dass es das gewollte Format ist.
  • Keine Makros für Office-Dateien aktivieren. Dies gilt vor allem für Emails, die das fordern.
  • Vorsicht vor gefälschten Domänen, die in E-Mails eingebettet sind. Leichte Änderungen an einer gängigen URL können ein Indikator für bösartige Inhalte sein.

Zusätzlich können Unternehmen einen mehrschichtigen Sicherheitsansatz wählen:

  • Trend Micro Smart Protection Suites und Worry-Free™ Business Security kann vor ähnlichen Bedrohungen schützen, weil die Lösungen bösartige Dateien und Spam-Nachrichten erkennen und alle damit zusammenhängenden bösartigen URLs blockieren. Trend Micro Deep Discovery Email Inspector™ kann bösartige Anhänge und URLs erkennen.
  • Trend Micro Hosted Email Security ist eine wartungsfreie cloudbasierte Lösung, die permanent aktuellen Schutz bietet und Spam, Malware, Spear-Phishing und komplexe, zielgerichtete Angriffe stoppt, bevor sie das Unternehmensnetzwerk erreichen. Hosted Email Security schützt Microsoft Exchange, Microsoft Office 365, Google Apps sowie viele weitere gehostete und lokale Email-Lösungen. Email-Verschlüsselung ist in der Basisversion bereits enthalten.
  • Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.
  • Trend MicroTMXDR unterstützt den Schutz von vernetzten Emails, Endpunkten, Servern, cloudbasierten Workloads und Netzwerken. Leistungsfähige KI und Sicherheitsanalysen von Experten korrelieren Daten aus Kundenumgebungen mit den globalen Bedrohungsinformationen von Trend Micro. Daraus entstehen weniger und präzisere Warnungen.

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.