Die Experten der G DATA SecurityLabs entdeckten einen Fall von Cyber-Spionage, an dessen Beispiel sich sehr schön zeigen lässt, wie gezielte Angriffe funktionieren. Der Zweck der untersuchten Kampagne war das Stehlen wertvoller Dokumente von der angegriffenen Organisation. Wir nennen die Operation „TooHash“.
Die Vorgehensweise der Angreifer ist eine Spear-Phishing Attacke, bei dem sie ein infiziertes Microsoft Office Dokument als E-Mail Anhang versenden. Dabei suchen die Angreifer sich die Empfänger der E-Mails keinesfalls zufällig aus. Diese Erkenntnis leiten wir daraus ab, dass speziell angefertigte Dokumente mit Lebensläufen benutzt wurden, sehr wahrscheinlich, um sie an Mitarbeiter aus der Personalabteilung des Angriffsziels zu senden. Naturgemäß haben sie als Empfänger tagtäglich mit solchen Dokumenten zu tun und öffnen sie daher auch.
Der Großteil der entdeckten Samples wurde aus Taiwan eingesendet. Da Teile der untersuchten Dokumente in chinesischen Kurzzeichen geschrieben wurden, was auf dem chinesischen Festland benutzt wird, und andere Teile in traditionellem Chinesisch geschrieben sind, wie es in Hong Kong, Macao und auch Taiwan benutzt wird, ist es möglich dass die Dokumente gegen Ziele im gesamten Großraum China eingesetzt wurden.
Die benutzte Malware
Die genannten E-Mail Anhänge nutzen eine schon bekannte und eher veraltete Sicherheitslücke aus(CVE-2012-0158), um ein Fernzugriffstool (engl.: Remote Administration Tool, kurz RAT) auf den Computer des angegriffenen Nutzers zu spielen. Wir haben dieser Kampagne zwei verschiedene Schadprogramme zuschreiben können. Beide beinhalten etablierte Cyber-Spionage Komponenten, wie etwa Möglichkeiten zur Code-Ausführung, Auflistung von Dateien, Datendiebstahl und mehr.
Wir haben mehr als 75 Command&Control-Server entdeckt, welche alle zum Administrieren der infizierten Maschinen angelegt wurden. Die Server zum Managen der infizierten Systeme wurden hauptsächlich in Hong Kong und den USA lokalisiert. Außerdem ist die Anzeige der Administrierungsoberfläche dieser Server teilweise in Chinesisch und teilweise in Englisch geschrieben.
Der Exploit, der von den Angreifern genutzt wird, wird von G DATAs Exploit Protection Technologie identifiziert und geblockt. Außerdem erkennen die G DATA Sicherheitslösungen die abgelegten ausführbaren Programme als Win32.Trojan.Cohhoc.A und, respektive, als Win32.Trojan.DirectsX.A.
Informationsdiebstahl
Heutzutage bilden Geschäftsgeheimnisse einen der Hauptwerte fast jedes Unternehmens. Daher ist es nicht verwunderlich, dass neidende Mitbewerber vielleicht versucht sind, wertvolle und sensible Informationen für ihre eigenen Zwecke zu stehlen. Der Verlust von sensiblen Dokumenten kann für ein Unternehmen ein Desaster sein und zu finanziellen Verlusten führen. Auch Regierungsorganisationen verfügen über sensible, geheime oder klassifizierte Dokumente. Geheimdienste könnten daran interessiert sein, an solche Dokumente zu gelangen.
Case Study / Paper:
Lesen Sie alle Details und Informationen zur Analyse und zum Fallbeispiel in unserem englischsprachigen Paper:
https://secure.gd/dl-en-toohash