Bericht über Cyberspionage als Köder

Das auf den Schutz vor zielgerichteten Cyberattacken spezialisierte Unternehmen Mandiant warnt vor schädlichen Versendungen, die als Element von Spear-Phishing-Attacken den Text der neuesten Mandiant-Veröffentlichung über chinesische Hacker verwenden.

Der Mitte Februar von Mandiant veröffentlichte Bericht enthält Beweise für eine Verbindung zwischen einer der aktivsten Hackergruppen und einer Spezialeinheit der chinesischen Volksbefreiungsarmee. Die Experten versichern, dass diese Gruppe von chinesischen Hackern im Laufe vieler Jahre Cyberspionage betrieben und hunderte Terrabyte vertraulicher Informationen von 140 ausländischen Organisationen gestohlen hat. In dem Artikel wird auf über 3.000 Besonderheiten der Hacks verwiesen, die die Autorenschaft dieser Gruppe nahezu eindeutig belegen.

Nach Aussage der Experten wird diese detaillierte Untersuchung, die rege Diskussionen hervorgerufen hat und das offizielle China einmal mehr dazu zwingt, den Verdacht von Spionagetätigkeit im Internet mit Empörung von sich zu weisen, nun von Cyberkriminellen als Köder genutzt. Eine der von Symantec entdeckten schädlichen Mitteilungen wurde im Namen eines Medienvertreters verfasst und enthält die Empfehlung, sich mit den Erkenntnissen von Mandiant vertraut zu machen. Das – übrigens äußerst fehlerhafte – Schreiben wurde von der Adresse eines kostenlosen E-Mail-Anbieters verschickt und enthielt einen pdf-Anhang, der den Namen des Autors der Studie enthält. Beim Start dieser Datei wird dem Anwender die Originalseite des Berichts mit Inhaltverzeichnis angezeigt, während im Hintergrund ein Exploit aktiviert wird, das ausschließlich die gepatchte Sicherheitslücke CVE-2013-0641 im Adobe Reader/Acrobat angreift. Im Erfolgsfall wird auf dem Rechner des Opfers ein Downloader installiert, der andere Schaddateien von einem Server lädt, der sich laut Seculert in Korea befindet.

Eine andere bösartige pdf-Datei, die als neuster Bericht von Mandiant getarnt ist, wurde von dem unabhängigen Experten Brandon Dixon entdeckt. Diese Datei ist passwortgeschützt und zeigt bei Aktivierung das gesamte Originaldokument an und startet im System gleichzeitig den neuen Prozess AdobeArm.tmp. Nach Angaben von Dixon handelt es sich bei der Payload dieser pdf-Datei um ein wohl bekanntes Exploit zu der Sicherheitslücke CVE-2011-2462 im Adobe Reader/Acrobat. Bei der Verarbeitung des Exploits wird auf dem Zielrechner ein Backdoor installiert, der seine Befehle von einem C&C einer Domain erhält, die bereits aus Attacken aus dem Vorjahr gegen Bürgerrechtler bekannt ist. Nach Angaben von Seculert sind die Spam-Versendungen mit diesem bösartigen Anhang an chinesische Journalisten adressiert.

Mandiant führt inzwischen eigene Untersuchungen durch, um die Autoren der schädlichen Versendungen ausfindig zu machen, und hat bereits Gerüchte über den Hack der eigenen Ressourcen dementiert. Um Unannehmlichkeiten zu vermeiden, wird den Anwendern empfohlen, die Berichte des Unternehmens aus der ursprünglichen Quelle zu laden. Auf der Website von Mandiant wurden zudem Hashes veröffentlicht, mit deren Hilfe man sich von der Sicherheit des Downloads überzeugen kann.

Quelle:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.