Threats & Co

OilRig-Hacker setzen jetzt auf ISMDoor-Trojaner

OilRig-Hacker setzen jetzt auf ISMDoor-Trojaner

Unit 42, das Anti-Malware-Team von Palo Alto Networks, hat neue Aktivitäten von Cyberkriminellen entdeckt, die bereits für die OilRig-Kampagne verantwortlich waren. Zudem gibt es mögliche Verbindungen zu einer Hackergruppe, die als GreenBug bekannt ist. Diese nutzte bei ihren Attacken einen Information-Stealer-Trojaner namens ISMDoor. Nun beobachtet Palo Alto Networks neue Angriffe auf Unternehmen, die bereits im August Ziel der OilRig-Kampagne waren.

Erste Untersuchung des jüngsten Angriffs ergaben erneut Hinweise auf die OilRig-Kampagne mit ihrem vorhandenen Tool-Set. Weitere Analysen zeigen nicht nur neue Varianten des zur Malware-Verbreitung eingesetzten Dokuments, das die Forscher „Clayslide“ benannten, sondern auch anderen darin eingebettete Schadcode. In der Vergangenheit nutzte die OilRig-Kampagne mehrfach Clayslide-Dokumente, um einen Trojaner zu transportieren, den die Forscher „Helminth“ benannten. Im aktuellen Fall ging es stattdessen um eine Variante des Information-Stealer-Trojaners ISMDoor. Dieser wies jedoch signifikante Änderungen auf und wird nun unter eigenem Namen als „ISMAgent“ verfolgt.

 

Vor wenigen Tagen schickten die OilRig-Hacker E-Mails an fünf verschiedene Empfänger innerhalb eines Finanzinstituts. Alle versendeten E-Mails waren identisch hinsichtlich Betreffzeile, Anhang-Dateiname und angehängter Excel-Datei. Palo Alto Networks die Excel-Datei untersucht. Ein genauerer Blick zeigte zwar Ähnlichkeiten zu früheren Clayslide-Dokumenten, aber auch verschiedene völlig neu gestaltete Details. Wie bei den vorhergehenden Samples wurden ein Arbeitsblatt mit dem Titel „Incompatible“ angezeigt, als gefälschte Kompatibilitäts-Warnmeldung. Die Nachricht ist ein Versuch, den Benutzer dazu zu bringen, auf die Schaltfläche „Enable Content“ zu klicken. Erfolgt dies, wird daraufhin ein in der Excel-Datei eingebettetes bösartiges Makro ausgeführt. Ein neues Arbeitsblatt wird angezeigt, mit einer gefälschten Rechnung für Citrix-Produkte als Inhalt. Diese gefälschte Rechnung fungiert als Köderdokument, um den Verdacht des Benutzers zu minimieren, dass irgendwelche schädlichen Aktivitäten aufgetreten sind. Während das Makro zur Ablenkung die Rechnung anzeigt, führt es – vom Empfänger unbemerkt – schädlichen Code im Hintergrund aus, um den Schadcode zu installieren.

 

Die Akteure der OilRig-Kampagne versuchen, ihr Tool-Set iterativ einzusetzen. Sie haben dabei im Laufe der Zeit ein gewisses Maß an Ähnlichkeiten beibehalten. Mit der Einbindung von ISMAgent in das OilRig-Tool-Set wurde eine stärkere Beziehung zwischen den verschiedenen dokumentierten deutlich. 

 

Weitere Informationen finden Sie unter www.paloaltonetworks.com