Möglicherweise weitere MuddyWater-Kampagne

Originalartikel von Michael Villanueva und Martin Co, Threats Analysts

Die MuddyWater-Kampagne wurde erstmals 2017 gesichtet, als die saudiarabische Regierung über Angriffe mit PowerShell-Skripts via Microsoft Office Word-Makros ins Visier geriet. Im März 2018 dann gab es eine weitere Kampagne, die Charakteristiken von MuddyWater aufwies. Im Mai nun fanden die Sicherheitsforscher ein neues Sample (W2KM_DLOADR.UHAOEEN) mit Bezug zu dieser Kampagne. Auch hier geht es um ein Microsoft Word-Dokument, das in ein bösartiges Makro eingebettet ist und PowerShell (PS)-Skripts ausführen kann, die zu einer Backdoor Payload führen. Einen bemerkenswerten Unterschied gibt es: Das neue Sample lädt nicht direkt die Visual Basic Script(VBS)- und PowerShell-Komponentendateien herunter, sondern codiert all diese Skripts im Dokument selbst. Die Skripts werden dann decodiert und abgelegt, um die Payload auszuführen.

Die Analyse des Samples zeigt Eigenschaften, die einen Bezug zur MuddyWater-Kampagne nahelegen:

  • Die Auslieferungsmethode, die die Nutzung eines bösartigen Dokuments mit einem eingebetteten Makro als Köder für potenzielle Opfer umfasst,
  • Die Verschleierungsmethode für die Makro-Skripts, die zu einer Backdoor Payload führen.


Bild. Vergleich der Infektionsketten der früheren und aktuellen Kampagnen

Technische Einzelheiten liefert der Originalbeitrag.

Gegenmaßnahmen und Trend Micro-Lösungen

Angesichts des Einsatzes von Köderdokumenten liegt die Vermutung nahe, dass die Angreifer Phishing oder Spam nutzen, um ihre Opfer ins Visier zu nehmen. Das Mitarbeiterwissen um diese Möglichkeiten kann eine gute Maßnahme gegen diese Art von Angriffen darstellen. Der erste Schritt wäre die Fähigkeit aufzubauen, Phishing-Angriffe zu identifizieren und legitimate Mails von bösartigen zu unterscheiden.

Trend Micro™ Deep Discovery™ liefert in Erkennung, tiefgehende Analysen und proaktive Response in Echtzeit auf heutige versteckte Malware und gezielte Angriffe. Die Lösung bietet einen umfassenden, anpassbaren Schutz über spezialisierte Engines, anpassbares Sandboxing sowie eine nahtlose Korrelation über den gesamten Lebenszyklus des Angriffs hinweg, um somit Bedrohungen zu erkennen, ohne dass Pattern Updates erforderlich sind.

Trend Micro™ Hosted Email Security ist eine wartungsfreie Lösung, die permanent aktuellen Schutz bietet und Phishing, Ransomware, BEC, komplexe Bedrohungen, Spam und Malware stoppt, bevor sie Ihr Netzwerk erreichen.

Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Malware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken.

Trend Micro XGen™ Security unterstützt die Lösungen und liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.