NanHaiShu: Threat Intelligence Bericht zu Spionageangriffen
In dem neuen Report analysiert F-Secure Labs einen Infostealer, der verwendet wurde, um Institutionen anzugreifen, die in den aktuellen Grenzstreit im Südchinesischen Meer involviert sind. Der Remote-Access-Trojaner (RAT) – NanHaiShu genannt – steht im Verdacht chinesischen Ursprungs zu sein. Er wurde in Spear-Phishing-Mails an ausgewählte Ziele verschickt: zwei Regierungsorganisationen und eine Anwaltskanzlei.
Cyberangriffe sind zu einem festen Bestandteil der geheimdienstlichen Tätigkeit auf der ganzen Welt geworden. Viele politische Angriffe wie diese und andere hochkarätige Angriffe werden von Unternehmen als „zu bedeutend“ eingestuft, um selbst davon betroffen zu sein. Dies ist jedoch eine Einstellung, auf die Angreifer setzen, wenn sie ihre Angriffe planen.
F-Secure-Cybersicherheitsberater Erka Koivunen:
Hinter jedem Cyberangriff stecken Akteure, die genau beobachten, was bei einem erfolgreichen Hack alles möglich ist, um dann zu versuchen, diesen Hack für ein anderes Ziel umzufunktionieren.. Jetzt ist die letzte Chance, von den Sicherheitspannen der Betroffenen zu lernen, bevor man selbst Opfer eines Angriffs nach ähnlichem Muster wird. Erfahren Sie mehr darüber, wie verschiedene Techniken zu Sicherheitsvorfällen führen und wie Sie herausfinden können, in welche Ressourcen Sie für eine optimale Verteidigung investieren sollten.
Deshalb ist Threat Intelligence eine unschätzbare Ressource beim Aufbau einer Verteidigung gegen Angreifer, die versuchen mittels Backdoors, Infostealers und anderen Hacks Ihre Daten zu stehlen. Schließlich ist es eine Sache, sich gegen Cyberkriminelle oder Cybersaboteure schützen zu wollen, aber eine andere Sache, wenn Sie nicht wissen, wie diese vorgehen in ihrem „Geschäft“.
Laden Sie sich den Threat Intelligence Bericht herunter, um mehr über die Taktiken, Techniken und Verfahren in Zusammenhang mit den NanHaiShu-Angriffen zu erfahren. Sie finden auch Anleitungen, wie die Systeme gegen diese Bedrohungen geschützt werden können. Hier sind einige Auszüge aus dem Bericht:
1. Die Angreifer wissen, wo sie zuschlagen
Die NanHaiShu-Hacker wussten, wo sie ihre Ziele treffen können. Sie haben nicht nur effektive Spear-Phishing-Mails erstellt, um ihre Ziele zu verleiten, die schädlichen Anhänge zu öffnen. Die Malware wurde zudem so entwickelt, damit sie mit einer Nicht-Standard-Konfiguration in Microsoft Office auf den Zielsystemen wirksam ist.
Dies sollte als Indikator gewertet werden, dass Unternehmen ihre „tiefhängenden Früchte“ entfernen sollten, bevor Angreifer sie finden.
NanHaiShus bösartiger Code wurde programmiert, um als Makro in Microsoft Office ausgeführt zu werden. Bösartige Makros wie dieses werden immer beliebter bei den Angreifern. Unternehmen sollten Makros daher standardmäßig deaktivieren, wenn sie Microsoft Office verwenden (im Threat Intelligence Bericht finden Sie eine Anleitung hierzu). Benutzer in einem Unternehmen sollten auf keinen Fall nicht signierte Makros ausführen. Wenn Ihr Unternehmen nicht in der Lage ist, dies zu tun, bleibt ein klaffendes Loch in der Cyberverteidigung, auf das derzeit viele Cyberangriffe abzielen. Im Bericht sind auch einige kurze Ratschläge enthalten, wie Sie die Risiken im Zusammenhang mit Makros reduzieren können.
2. Angreifer wissen, wie sie Nachrichten nutzen können
Die Forscher haben die Verwendung von NanHaiShu mit Ereignissen verbunden, die bis zum Jahr 2015 stattfanden. Während NanHaiShu den Entwicklungen im Territorialstreit im Südchinesischen Meer galt, agieren andere Bedrohungsgruppen in Verbindung mit anderen Ereignissen in der Welt. Zum Beispiel zeigt dieses Video, wie die Spionagegruppe The Dukes die Krise in der Ukraine in Spear-Phishing-Mails verwendet (übrigens ist der im Video gezeigte Prozess dem NanHaiShu-Angriff sehr ähnlich).
Wieder einmal ist zu beobachten, wie Angreifer Aufklärung nutzen, um zu erfahren, wie sie Menschen ködern können, damit diese die bösartigen Makros ausführen. Die Angreifer kennen Ihre Geschäftssprache und wissen, welche Themen in den Nachrichten und welche betriebswirtschaftlichen Fragen Sie interessieren. Und sie wissen, wann Sie Ihren Verteidigungsring lockern werden, um Geschäfte zu betreiben.
In diesem Blogpost sowie in unserem jüngsten Threat Report diskutierten wir, wie Hacker innerhalb von 24 Stunden, wenn neue Schwachstellen offengelegt werden, Exploits erstellen und verteilen können. Deshalb sollte man verstehen, dass die heutigen Bedrohungen auf aktuelle Entwicklungen reagieren, egal ob es Tech-News oder politische Entwicklungen sind.
Konsequenterweise sollten Unternehmen ihren Mitarbeitern daher bewusst machen, wie aktuelle Nachrichten und Ereignisse Auswirkungen auf die Sicherheit für das Unternehmen haben können.
3. Angreifer gehen gut getarnt vor
Eine andere Technik, die von den Angreifern, die hinter NanHaiShu (wie auch vielen anderen Bedrohungen) stecken, ist es, ihren schädlichen Datenverkehr in legalen Diensten zu verstecken.
So greift auch NanHaiShu auf dynamische DNS-Provider zurück, um seinen Datenverkehr durch das Internet zu schleusen. Und dies ist nicht die einzige Bedrohung, die diese Ressource nutzt. Im Jahr 2014 haben Anwälte im Auftrag von Microsoft dargelegt, dass mehr als 245 verschiedene Arten von Malware dynamische DNS-Provider für bösartigen Netzwerkverkehr nutzen.
Dieser Ansatz hilft nicht nur den Bedrohungsakteuren, die Erkennung zu vermeiden, sondern macht es auch schwieriger für die Behörden, Bedrohungsressourcen vom Netz zu nehmen. Microsofts Versuch im Jahr 2014, zwei Malware-Familien über ihren dynamischen DNS-Provider zu stoppen, hat Millionen von legitimen Servern betroffen. Viele Menschen, die diese Server nutzen, waren weniger begeistert von Microsofts Ansatz.
Eine empfehlenswerte Lösung für Unternehmen ist ein Intrusion-Detection-System, um dynamischen DNS-Datenverkehr zu markieren oder zu überprüfen. Sie sollten auch ein System oder einen Managed Service implementieren, um potenziell gefährliche Aktionen wie Datei-Downloads, Dateistarts und ungewöhnliches Verhalten protokollieren zu können. Auf diese Weise können Sie weiterhin solche Dienste für legitime Zwecke nutzen, während verdächtige Aktivitäten überwacht werden.
Kategorien