Gruppierung APT17 versteckt Malware im TechNet-Forum

FireEye und Microsoft decken Verschleierungstaktik chinesischer Cyberkrimineller auf

München, 15. Mai 2015 FireEye, Spezialist für den Schutz von Unternehmen vor bisher unbekannten Cyberangriffen, stellt in einem aktuellen Report „Hiding in Plain Sight: FireEye Exposes Chinese APT Obfuscation Tactic“ eine bisher unbekannte Command-and-Control-Angriffstaktik vor. Gemeinsam haben FireEye Threat Intelligence und das Microsoft Threat Intelligence Center das Vorgehen der chinesischen Gruppierung APT17 entdeckt und untersucht. Bei APT17 handelt es sich um Cyberkriminelle, die Advanced Persistent Threats für ihre Angriffe verwenden und auch unter dem Namen Deputy Dog bekannt sind.

Die Command-and-Control-Angriffsmethode wird seit 2013 beobachtet und beinhaltet die Backdoor „BLACKCOFFEE“. Ziel der untersuchten Angriffe war unter anderem eine Reihe von IT-Unternehmen, Anwaltskanzleien und US-Regierungsbehörden. FireEye hat beobachtet, dass eine BLACKCOFFEE-Variante Command-and-Control-Aktivitäten der Gruppierung durch Datenverschlüsselung auf dem TechNet-Webportal von Microsoft verschleiert. Bei dem Portal handelt es sich um eine wichtige Online-Ressource für IT-Profis.

Anstatt TechNet selbst anzugreifen, nutzte APT17 die Möglichkeit, Profile im Forum anzulegen und dort Beiträge zu schreiben, die verschlüsselte Command-and-Control-Malware beinhalteten. Diese Vorgehensweise macht es für Netzwerk-Sicherheitsexperten schwierig, die Malware-Quelle zu lokalisieren, und erlaubt der Command-and-Control-Infrastruktur über einen längeren Zeitraum hinweg unentdeckt aktiv zu bleiben.

Durch Einspeisen verschlüsselter Daten auf TechNet-Seiten war das Team von FireEye- und Microsoft-Experten in der Lage, weitere Einblicke in die Funktionsweise der Malware und die Ziele von APT17 zu erhalten. FireEye hat Adaptionen dieser Methoden bereits auch bei anderen Gruppierungen beobachtet und erwartet, dass dieser Trend zunehmen wird. Dennoch hat die Sicherheitsbranche diese Vorgehensweise bisher kaum diskutiert.

„In diesem Report bringen wir eine neue Angriffsmethode bei Advanced Persistent Threats ans Licht, die selbst für geschulte Sicherheitsexperten eine Herausforderung darstellen kann. Cyberkriminelle finden immer neue Wege, um ihre Ziele zu erreichen und Angriffe erfolgreich durchzuführen. Die Erkenntnisse dieses Reports unterstreichen einmal mehr, dass Technologie und Experten den Urhebern von Cyberbedrohungen immer einen Schritt voraus sein müssen“, sagt Frank Kölmel, Vice President Central & Eastern Europa bei FireEye.

FireEye und Microsoft haben die Aktivitäten von APT17 bei TechNet, mit denen sie ihre Angriffe unentdeckt durchzuführen versuchten, erfolgreich unterbinden können. Zusammenarbeit und Austausch von Erkenntnissen aus Bedrohungsdaten kann Netzwerk-Sicherheitsexperten in ihrer Arbeit unterstützen und die Entwicklung innovativer Lösungen voranbringen. FireEye Threat Intelligence und das Microsoft Threat Intelligence Center werden ihre Zusammenarbeit weiter fortsetzen, um Nutzer gemeinsam vor Cyberangriffen zu schützen.

Den Report finden Sie hier: https://www2.fireeye.com/rs/fireye/images/rpt-apt17.pdf
Den vollständigen Blog-Beitrag: https://www.fireeye.com/blog/threat-research/2015/05/hiding_in_plain_sigh.html

Über FireEye, Inc.
FireEye hat eine Virtual-Machine-basierte Plattform entwickelt, die Schutz für Unternehmen und Regierungen vor Next-Generation-Cyber-Angriffen in Echtzeit bietet. Diese besonders fortgeschrittenen Angriffe umgehen traditionelle signaturbasierte Abwehrmechanismen, wie Next-Generation-Firewalls, IPS, Antiviruslösungen und Gateways. Die FireEye Threat Prevention Platform bietet dynamischen Schutz ohne Signaturen zu nutzen, um Unternehmen vor primären Angriffsvektoren zu schützen. Sie deckt alle Phasen des Angriffszyklus ab. Das Kernstück der FireEye-Plattform bildet die signaturunabhängige Virtual Execution Engine, die durch dynamische Threat Intelligence ergänzt wird. FireEye hat 3.400 Kunden in mehr als 67 Ländern, darunter 250 der Fortune-500-Unternehmen.

Pressekontakt:
Grayling Deutschland GmbH
Ewa Krzeszowiak
Tel. +49 (0)211 96 485 0
E-Mail: [email protected]