Rocket Kitten nutzt neuen Modus für die Ausspionierung

Originalartikel von Cedric Pernet, Threat Researcher

Dr. Thamar E. Gindin, Expertin für Linguistik und vorislamische iranische Kultur, wußte nicht genau, warum sie zum Ziel eines Angriffs wurde. Anscheinend hatte sie eine politische Aussage gemacht, die die Hintermänner von Rocket Kitten störte. Die Gruppe ist bekannt für das Ausschnüffeln von ausgewählten prominenten Personen im Mittleren Osten.

Mitte 2015 erhielt Dr. Gindin eine Reihe von Spearphishing-Mails, von denen eine Schadsoftware enthielt, während drei andere Links zu gefälschten Login-Seiten umfassten. Und dies war nur der Anfang. Nachrichten von unbekannten Absendern füllten plötzlich ihre Facebook-Inbox. Hacker starteten Brute-Force-Angriffe über die Recovery-Option mit dem Ziel, ihre Cloud-Konten zu übernehmen. Zweimal versuchten Angreifer, über Telefon Kontakt mit ihr aufzunehmen, um weitere Einzelheiten zu erfahren, die sie dann in Phishing-Mails anwenden wollten.

Im Juni wurde definitiv klar, dass sie zum Ziel von Rocket Kitten geworden war. Sie unterstützte zu diesem Zeitpunkt die Sicherheitsforscher von ClearSky und Trend Micro beim „Thamar Reservoir“-Whitepaper, einem detaillierten Report über die Aktivitäten von Rocket Kitten. Trotz ihrer Entdeckung blieben die Angreifer hartnäckig. Auch nach der Veröffentlichung des Papiers erhielt Dr. Gindin weiterhin Google-Benachrichtigungen über angeforderte Passwort-Resets, die sie nie gestellt hatte.

Möglicherweise hatte die Zusammenarbeit mit ClearSky Rocket Kitten auf die Iranexpertin gebracht. Vielleicht hatten sie Zugang zu E-Mails, die die Gespräche mit einem der ClearSky-Forscher offenlegten, oder sie hatten unabhängig davon die Recherche über die Gruppe mitbekommen. Sie nutzten jedenfalls ihr Wissen als Köder.

Es folgte eine Reihe von hartnäckigen Versuchen in einer etwas abgeänderten Art und Weise. Rocket Kitten war an der Auslieferung der GHOLE-Schadsoftware und der Woolen-Goldfish-Kampagne beteiligt. Nun folgten verschiedene Aktivitäten:

  1. Soziale Medien: Die Angreifer versuchten zuerst, sich mit einem gefälschten Facebook-Profil einem ClearSky-Bedrohungsforscher zu nähern. Dies funktionierte nicht.
  2. Gefälschte E-Mail: Sie sendeten an einen Forscher eine E-Mail mit einer gefälschten ClearSky Mail-Adresse clearsky[.]cybersec[.]group@gmail[.]com. Doch der Empfänger rief den angeblichen Absender an, um eine Bestätigung der Mail zu erhalten und so kam die Fälschung ans Licht.



Bild 1. Spearphishing E-Mail an eine Zielperson, die angeblich von einem ClearSky-Forscher kam

  1. Bösartige Links: Besagte Mail nutzte den Namen von Trend Micro, um sich den Anstrich de Legitimität zu geben. Der erste Link „Trend Micro security” führt auf die echte Unternehmens-Site, doch der zweite zeigt auf eine bösartige Datei namens HousecallLauncher.EXE.
  2. Social Engineering: Es ist ziemlich clever, ein Produkt der Marke Trend Micro als Köder zu nutzen, denn die Recherche von Trend Micro zu den Aktivitäten von Rocket Kitten kann ein falsches Gefühl des Vertrauens schaffen und das Opfer dazu bringen, das Produkt herunterzuladen.
  3. Bösartige Datei: Die bösartige Datei verbindet schließlich die infizierte Maschine mit dem C&C-Server, um den Angreifern die Möglichkeit zu geben, remote auf das Netzwerk zuzugreifen.

Das Whitepaper „The Spy Kittens Are Back: Rocket Kitten 2“ stellt den Kontext dieser spezifischen politischen Spionagevorfälle im Zusammenhang mit Rocket Kitten dar und beschreibt die technischen Einzelheiten der Angriffe.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.