Kaspersky-Forscher haben eine Reihe sehr zielgerichteter Spionage-Angriffe auf Industrieunternehmen aufgedeckt, die auf das Jahr 2018 zurückgehen [1]. Solche Attacken durch Advanced-Persistent Threat (APT)-Akteure sind weitaus seltener als Kampagnen gegen Diplomaten und andere hochrangige politische Persönlichkeiten. Das verwendete Toolset – von den Malware-Entwicklern ursprünglich ,MT3′ genannt – bezeichnet Kaspersky als ‚MontysThree‘. Die Malware nutzt eine Vielzahl von Techniken, um einer Erkennung zu entgehen – beispielsweise durch das Hosting der eigenen Kommunikation mit einem Kontrollserver in öffentlichen Cloud-Diensten und das Verbergen des schädlichen Haupt-Moduls mittels Steganographie [2].Kaspersky-Forscher haben eine Reihe sehr zielgerichteter Spionage-Angriffe auf Industrieunternehmen aufgedeckt, die auf das Jahr 2018 zurückgehen [1]. Solche Attacken durch Advanced-Persistent Threat (APT)-Akteure sind weitaus seltener als Kampagnen gegen Diplomaten und andere hochrangige politische Persönlichkeiten. Das verwendete Toolset – von den Malware-Entwicklern ursprünglich ,MT3′ genannt – bezeichnet Kaspersky als ‚MontysThree‘. Die Malware nutzt eine Vielzahl von Techniken, um einer Erkennung zu entgehen – beispielsweise durch das Hosting der eigenen Kommunikation mit einem Kontrollserver in öffentlichen Cloud-Diensten und das Verbergen des schädlichen Haupt-Moduls mittels Steganographie [2].

Regierungsstellen, Diplomaten und Telekommunikationsbetreiber sind in der Regel das bevorzugte Ziel von APTs, da diese Personen und Institutionen über vertrauliche und politisch sensible Informationen verfügen. Weitaus seltener sind dagegen zielgerichtete Spionagekampagnen gegen Industrieunternehmen. Jedoch können diese – wie alle anderen Angriffe gegen solche Firmen – verheerende Konsequenzen nach sich ziehen. 

Modulare Herangehensweise der Cyberkriminellen

Um spionieren zu können, setzt MontysThree ein Malware-Programm ein, das aus vier Modulen besteht. Das erste Modul – der Loader – wird zunächst über RAR SFX-Dateien (selbstextrahierende Archive) verbreitet. Diese enthalten die Namen und Kontaktinformationen von Mitarbeitern, technische Dokumentation und medizinische Berichte und sollen das Personal zum Herunterladen solcher Dateien verleiten – eine gängige Spear-Phishing-Technik. Der Loader ist in erster Linie dafür verantwortlich, dass die Malware nicht auf dem System entdeckt wird. Hierzu wird Steganograhie eingesetzt, eine Technik, die dazu dient, den Austausch von Daten zu verbergen. Im Fall von MontysThree sind die schädlichen Inhalte als Bitmap-Datei (ein Format zur Speicherung digitaler Bilder) getarnt. Wenn der richtige Befehl eingegeben wird, entschlüsselt der Loader den Inhalt der Pixelmatrix mit Hilfe eines speziell angefertigten Algorithmus und führt den schädlichen Code aus. 

Intelligente Verschlüsselungstechniken erschweren Erkennung 

Der schädliche Haupt-Payload nutzt mehrere Verschlüsselungstechniken, um einer Erkennung zu entgehen. So verwendet er einen RSA-Algorithmus, um die Kommunikation mit dem Kontrollserver zu verschlüsseln sowie die wichtigsten "Aufgaben", die ihm von der Malware zugewiesen wurden, zu entschlüsseln. Dazu gehört die Suche nach Dokumenten mit spezifischen Erweiterungen und in bestimmten Firmenverzeichnissen. MontysThree ist speziell auf Microsoft- und Adobe Acrobat-Dokumente ausgelegt und kann auch Screenshots und "Fingerprints" – also Informationen über Netzwerkeinstellungen oder Hostnamen – erfassen, um deren Relevanz für die Angreifer überprüfbar zu machen.

Die gesammelten Informationen und Kommunikationen mit dem Kontrollserver werden dann in öffentlichen Cloud-Diensten wie Google, Microsoft und Dropbox gehostet. Dadurch ist es schwierig, den Kommunikationsverkehr als schädlich zu erkennen. Und da Antivirus-Lösungen diese Dienste nicht blockieren, wird sichergestellt, dass der Kontrollserver Befehle ohne Unterbrechung ausführen kann.

Nutzer löst das erste Modul der Malware selbst aus

MontysThree nutzt darüber hinaus einen Modifikator für den Windows Quick Launch, um Persistenz auf dem infizierten System zu erlangen. Bei der Verwendung der Schnellstart-Symbolleiste führen Nutzer unwissentlich jedes Mal, wenn sie legitime Anwendungen – wie etwa Browser – aufrufen, das erste Modul der Malware selbst aus. 

Kaspersky konnte keine Ähnlichkeiten im schädlichen Code oder in der Infrastruktur mit bekannten APTs feststellen.

"MontysThree ist nicht nur aufgrund der Tatsache interessant, dass es auf Industrieorganisationen abzielt, sondern auch wegen der Kombination aus anspruchsvollen und etwas "amateurhaft" gestalteten TTPs", erklärt Denis Legezo, leitender Sicherheitsforscher im Global Research and Analysis Team (GReAT) bei Kaspersky. "Im Allgemeinen variiert die Ausgereiftheit von Modul zu Modul, aber sie ist nicht mit dem Niveau vergleichbar, das von den fortgeschrittensten APTs verwendet wird. Es kommen jedoch starke kryptographische Standards zum Einsatz, etwa eine auf das Angriffsziel hin abgestimmte Steganographie. Das vielleicht Wichtigste: Es ist klar, dass die Angreifer beträchtliche Anstrengungen unternommen haben, um das MontysThree-Toolset zu entwickeln. Dies deutet auf die Entschlossenheit der Hintermänner hin, bestimmte Ziele zu erreichen; es wird folglich keine kurzlebige Kampagne sein."

Kaspersky-Tipps zum Schutz vor APTs wie MontyThree

. Mitarbeiter regelmäßig in Cybersicherheit wie mit dem Kaspersky Security Awareness-Training [3] schulen, da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen. Die Durchführung eines simulierten Phishing-Angriffs kann dabei helfen, sicherzustellen, dass die Belegschaft Phishing-E-Mails erkennen und von harmlosen Inhalten unterscheiden kann.

. Das SOC-Team sollte stets Zugriff auf die neuesten Bedrohungsinformationen haben. Das Kaspersky Threat Intelligence Portal [4] ist ein zentraler Zugriffspunkt für die Threat Intelligence eines Unternehmens und bietet Daten und Erkenntnisse zu Cyberangriffen.

. Eine EDR-Lösung wie Kaspersky Endpoint Detection and Response [5] implementieren, um Vorfälle auf Endpunktebenen erkennen, untersuchen und rechtzeitig beheben zu können.

. Ergänzend zum Endpoint-Schutz sollte eine unternehmensweite Sicherheitslösung wie Kaspersky Anti Targeted Attack Platform [6] implementiert werden, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt und blockiert. 

. Es sollten sowohl industrielle als auch unternehmensrelevante Endpoints geschützt werden. Kaspersky Industrial CyberSecurity [7] umfasst einen dedizierten Schutz für Endpunkte und eine Netzwerküberwachung, um alle verdächtigen und potenziell schädlichen Aktivitäten im industriellen Netzwerk zu identifizieren.

Weitere Informationen zu MontysThree sind verfügbar unter https://securelist.com/… 

Ausführliche Angaben zu den Angriffsindikatoren dieser Gruppe, einschließlich Datei-Hashes, sind auf dem Kaspersky Threat Intelligence Portal verfügbar.

Eine Präsentation der MontysThree-APT findet im Rahmen des SAS@Home statt. Interessierte können sich hier registrieren und teilnehmen: https://kas.pr/tr59 

[1] https://securelist.com/montysthree-industrial-espionage/98972/ 

[2] https://www.kaspersky.com/blog/digital-steganography/27474/

[3] https://www.kaspersky.de/enterprise-security/security-awareness 

[4] https://www.kaspersky.de/enterprise-security/threat-intelligence 

[5] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr 

[6] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform 

[7] https://www.kaspersky.de/enterprise-security/industrial-solution 

Nützliche Links:

. Analyse zu MontysThree: https://securelist.com/montysthree-industrial-espionage/98972/ 

. Kaspersky Security Awareness Training: https://www.kaspersky.de/enterprise-security/security-awareness 

. Kaspersky Threat Intelligence Portal: https://www.kaspersky.de/enterprise-security/threat-intelligence 

. Kaspersky Endpoint Detection and Response: https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr 

. Kaspersky Industrial CyberSecurity: https://www.kaspersky.de/enterprise-security/industrial-solution 

. Kaspersky Anti Targeted Attack Platform: https://www.kaspersky.de/…