Regierungsstellen, Diplomaten und Telekommunikationsbetreiber sind in der Regel das bevorzugte Ziel von APTs, da diese Personen und Institutionen über vertrauliche und politisch sensible Informationen verfügen. Weitaus seltener sind dagegen zielgerichtete Spionagekampagnen gegen Industrieunternehmen. Jedoch können diese – wie alle anderen Angriffe gegen solche Firmen – verheerende Konsequenzen nach sich ziehen.
Modulare Herangehensweise der Cyberkriminellen
Um spionieren zu können, setzt MontysThree ein Malware-Programm ein, das aus vier Modulen besteht. Das erste Modul – der Loader – wird zunächst über RAR SFX-Dateien (selbstextrahierende Archive) verbreitet. Diese enthalten die Namen und Kontaktinformationen von Mitarbeitern, technische Dokumentation und medizinische Berichte und sollen das Personal zum Herunterladen solcher Dateien verleiten – eine gängige Spear-Phishing-Technik. Der Loader ist in erster Linie dafür verantwortlich, dass die Malware nicht auf dem System entdeckt wird. Hierzu wird Steganograhie eingesetzt, eine Technik, die dazu dient, den Austausch von Daten zu verbergen. Im Fall von MontysThree sind die schädlichen Inhalte als Bitmap-Datei (ein Format zur Speicherung digitaler Bilder) getarnt. Wenn der richtige Befehl eingegeben wird, entschlüsselt der Loader den Inhalt der Pixelmatrix mit Hilfe eines speziell angefertigten Algorithmus und führt den schädlichen Code aus.
Intelligente Verschlüsselungstechniken erschweren Erkennung
Der schädliche Haupt-Payload nutzt mehrere Verschlüsselungstechniken, um einer Erkennung zu entgehen. So verwendet er einen RSA-Algorithmus, um die Kommunikation mit dem Kontrollserver zu verschlüsseln sowie die wichtigsten "Aufgaben", die ihm von der Malware zugewiesen wurden, zu entschlüsseln. Dazu gehört die Suche nach Dokumenten mit spezifischen Erweiterungen und in bestimmten Firmenverzeichnissen. MontysThree ist speziell auf Microsoft- und Adobe Acrobat-Dokumente ausgelegt und kann auch Screenshots und "Fingerprints" – also Informationen über Netzwerkeinstellungen oder Hostnamen – erfassen, um deren Relevanz für die Angreifer überprüfbar zu machen.
Die gesammelten Informationen und Kommunikationen mit dem Kontrollserver werden dann in öffentlichen Cloud-Diensten wie Google, Microsoft und Dropbox gehostet. Dadurch ist es schwierig, den Kommunikationsverkehr als schädlich zu erkennen. Und da Antivirus-Lösungen diese Dienste nicht blockieren, wird sichergestellt, dass der Kontrollserver Befehle ohne Unterbrechung ausführen kann.
Nutzer löst das erste Modul der Malware selbst aus
MontysThree nutzt darüber hinaus einen Modifikator für den Windows Quick Launch, um Persistenz auf dem infizierten System zu erlangen. Bei der Verwendung der Schnellstart-Symbolleiste führen Nutzer unwissentlich jedes Mal, wenn sie legitime Anwendungen – wie etwa Browser – aufrufen, das erste Modul der Malware selbst aus.
Kaspersky konnte keine Ähnlichkeiten im schädlichen Code oder in der Infrastruktur mit bekannten APTs feststellen.
"MontysThree ist nicht nur aufgrund der Tatsache interessant, dass es auf Industrieorganisationen abzielt, sondern auch wegen der Kombination aus anspruchsvollen und etwas "amateurhaft" gestalteten TTPs", erklärt Denis Legezo, leitender Sicherheitsforscher im Global Research and Analysis Team (GReAT) bei Kaspersky. "Im Allgemeinen variiert die Ausgereiftheit von Modul zu Modul, aber sie ist nicht mit dem Niveau vergleichbar, das von den fortgeschrittensten APTs verwendet wird. Es kommen jedoch starke kryptographische Standards zum Einsatz, etwa eine auf das Angriffsziel hin abgestimmte Steganographie. Das vielleicht Wichtigste: Es ist klar, dass die Angreifer beträchtliche Anstrengungen unternommen haben, um das MontysThree-Toolset zu entwickeln. Dies deutet auf die Entschlossenheit der Hintermänner hin, bestimmte Ziele zu erreichen; es wird folglich keine kurzlebige Kampagne sein."
Kaspersky-Tipps zum Schutz vor APTs wie MontyThree
. Mitarbeiter regelmäßig in Cybersicherheit wie mit dem Kaspersky Security Awareness-Training [3] schulen, da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen. Die Durchführung eines simulierten Phishing-Angriffs kann dabei helfen, sicherzustellen, dass die Belegschaft Phishing-E-Mails erkennen und von harmlosen Inhalten unterscheiden kann.
. Das SOC-Team sollte stets Zugriff auf die neuesten Bedrohungsinformationen haben. Das Kaspersky Threat Intelligence Portal [4] ist ein zentraler Zugriffspunkt für die Threat Intelligence eines Unternehmens und bietet Daten und Erkenntnisse zu Cyberangriffen.
. Eine EDR-Lösung wie Kaspersky Endpoint Detection and Response [5] implementieren, um Vorfälle auf Endpunktebenen erkennen, untersuchen und rechtzeitig beheben zu können.
. Ergänzend zum Endpoint-Schutz sollte eine unternehmensweite Sicherheitslösung wie Kaspersky Anti Targeted Attack Platform [6] implementiert werden, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt und blockiert.
. Es sollten sowohl industrielle als auch unternehmensrelevante Endpoints geschützt werden. Kaspersky Industrial CyberSecurity [7] umfasst einen dedizierten Schutz für Endpunkte und eine Netzwerküberwachung, um alle verdächtigen und potenziell schädlichen Aktivitäten im industriellen Netzwerk zu identifizieren.
Weitere Informationen zu MontysThree sind verfügbar unter https://securelist.com/…
Ausführliche Angaben zu den Angriffsindikatoren dieser Gruppe, einschließlich Datei-Hashes, sind auf dem Kaspersky Threat Intelligence Portal verfügbar.
Eine Präsentation der MontysThree-APT findet im Rahmen des SAS@Home statt. Interessierte können sich hier registrieren und teilnehmen: https://kas.pr/tr59
[1] https://securelist.com/montysthree-industrial-espionage/98972/
[2] https://www.kaspersky.com/blog/digital-steganography/27474/
[3] https://www.kaspersky.de/enterprise-security/security-awareness
[4] https://www.kaspersky.de/enterprise-security/threat-intelligence
[5] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[6] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform
[7] https://www.kaspersky.de/enterprise-security/industrial-solution
Nützliche Links:
. Analyse zu MontysThree: https://securelist.com/montysthree-industrial-espionage/98972/
. Kaspersky Security Awareness Training: https://www.kaspersky.de/enterprise-security/security-awareness
. Kaspersky Threat Intelligence Portal: https://www.kaspersky.de/enterprise-security/threat-intelligence
. Kaspersky Endpoint Detection and Response: https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
. Kaspersky Industrial CyberSecurity: https://www.kaspersky.de/enterprise-security/industrial-solution
. Kaspersky Anti Targeted Attack Platform: https://www.kaspersky.de/…
Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter http://www.kaspersky.com/de/
Kaspersky Labs GmbH
Despag-Straße 3
85055 Ingolstadt
Telefon: +49 (841) 98189-0
Telefax: +49 (841) 98189-100
http://www.kaspersky.de
Berkeley Kommunikation GmbH
Telefon: +49 (89) 747262-42
E-Mail: sarah.schoenhoeffer@berkeleypr.com
Telefon: +49 (841) 98189-322
Fax: +49 (841) 98189-100
E-Mail: anne.mickler@kaspersky.com