Verbrecherbande nutzt dynamische Gates für Infektion mit Exploit-Kit Fiesta

Eine raffinierte Verbrecherbande, die schon seit über einem Jahr aktiv ist, verwendet eine wechselnde Serie von IP-Adressen, Domains und Gates für die Infektion ihrer Opfer mit dem Exploit-Kit Fiesta.

Fiesta gehört zu einer Reihe von Exploit-Kits, die im Gefolge des einst prominenten Packs Blackhole auf den Plan traten, das allerdings mehr oder minder in der Versenkung verschwunden ist, nachdem sein mutmaßlicher Schöpfer, Dmitry Fedotov, besser bekannt als Paunch, festgenommen wurde. Während Angler als erfolgreichstes post-Blackhole-Kit angesehen wird, haben auch zweitrangige Exploit-Sammlungen wie Nuclear und Fiesta für Aufsehen gesorgt und eine bedeutende Zahl von Rechnern infiziert.

Brad Duncan, Sicherheitsexperte des Cloud-Management-Unternehmens Rackspace, hat die Aktivität der Gruppe, die Fiesta einsetzt, über ein Jahr lang verfolgt. In einem Eintrag im IT-Sicherheitsforum des SANS-Instituts, erklärte er, dass die Gruppe Traffic von kompromittierten Sites über ein Gate schleust – oder eine Umleitungsdomain – zur endgültigen Schaddomain, die das Exploit-Kit enthält.

Duncan nennt die Gruppe den “BizCN Gate Actor”, da sie ausschließlich Domains benutzt, die auf www.bizcn.com gekauft wurden – der Website eines chinesischen Domain-Registrators. Duncan erklärt, dass die Informationen des Registrators geschützt sind, so dass er nicht sehen kann, wer die schädlichen Gateway-Sites registriert, doch sie alle liegen auf ein und derselben IP zu ein und derselben Zeit, aktuell 205[.]234[.]186[.]114. Früher im April verwiesen die schädlichen Domains seiner Aussage zufolge auf 136[.]243[.]227[.]9. Gemäß Duncans Veröffentlichung wird die IP sich aller Wahrscheinlichkeit erneut ändern.

Jede einzelne Gate-Domain entspricht einer einzelnen kompromittierten Website.

„Organisationen mit Web-Proxy-Logs können in ihren http-Anfragen nach 136[.]243[.]227[.]9 suchen“, schreibt Duncan über den Kompromittierungsindikator dieser Attacke. „Diese HTTP-Header sollten eine Referrer-Zeile mit der kompromittierten Website enthalten.“

Zum gegenwärtigen Zeitpunkt benutzt die Gruppe Fiesta zur Verbreitung von Schadprogrammen, die sich selbst in die Verzeichnisse innerhalb der appdata/local-Ordner der Opfercomputer kopieren und von dort aus die Registry-Schlüssel aktualisieren, um ihre Überlebensdauer im System zu verlängern. Die Einträge von Duncan enthalten Links auf eine der schädlichen Payloads, die in den Angriffen benutzt wird, und die er verfolgt. Der Schädling wird von fast allen bei VirusTotal gelisteten AV-Anbietern anders klassifiziert.

Duncan warnt davor, dass die Forscher bei einer Analyse der Bedrohung auf Schwierigkeiten stoßen könnten, da es recht schwierig ist, die gesamte Infektionskette zu verfolgen.

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.