Achtung vor „Cannon“: Russische Hacker haben uns mit einer ganz neuen Phishing-Malware im Visier

Wenn du in den USA oder in Europa lebst, könnte deine Inbox und danach dein ganzes System neuen Risiken ausgesetzt sein: Denn eine Gruppe staatlich unterstützter russischer Hacker attackiert mit einer neuen Phishing-Kampagne momentan genau diese beiden Länder, wie Sicherheitsforscher herausgefunden haben.

Die Malware ist zumindest seit Ende Oktober im Umlauf und wurde nach entsprechenden Nennungen in ihrem Code „Cannon“ getauft. Sie sammelt Systemdaten und macht Screenshots von infizierten PCs. „Cannon“ wurde von Forschern der Sicherheitsfirma Palo Alto Network’s Unit 42 genauer unter die Lupe genommen. Laut den Experten handelt es sich nur um eine Form von Malware, die aktiv von Sofacy vertrieben wird – auch bekannt als Fancy Bear oder APT28 – einer Hacker-Truppe, die in starkem Konnex mit dem Kreml steht.

Sofacy umtriebige Hacker-Gruppe

Die Gruppe wird für eine Reihe von kriminellen Kampagnen in den letzten Jahren verantwortlich gemacht. Darunter auch die Cyberattacken und Falschinformationen rund um die US-Präsidentenwahl. Außerdem soll APT28 auch Spionage-Kampagnen gegen einige Regierungs- und internationale Organisationen durchgeführt haben.

Kampagne startet mit „Lion Air“-Phishing-E-Mail

Die neue Kampagne startet, wie so oft, mit Phishing-E-Mails. Diese referenzieren auf den kürzlichen Lion Air Absturz in Indonesien. Das Worddokument hat den Titel Lion Air Boeing 773.docx und wurde angeblich von einem Autor namens „Joohn“ verfasst. Warum dieses Thema gewählt wurde? Ganz einfach: Menschen tendieren dazu, auf E-Mails zu antworten, die mit aktuellen Ereignissen zusammenhängen.

Makros aktivieren? Keine gute Idee!

Öffnet der User das Attachment wird er dazu aufgefordert, Makros zu aktivieren. Wird dies tatsächlich gemacht, startet der Installationsprozess der Malware auch schon … Um eine frühzeitige Entdeckung zu verhindern, wird der böswillige Code aber erst nach Beendigung der Word-Session aktiviert.

Die Kampagne überbringt aber nicht nur eine Art von Malware: Neben Cannon gibt es die ähnliche Form namens Zebrocy, ein Trojaner, der im Zusammenhang mit Cyber-Spionageversuchen außerhalb von Russland beobachtet wurde. Cannon funktioniert ähnlich wie Zebrocy, beide stellen eine Kommunikation mit einem Command & Control-Server her, der die Malware mit Befehlen versorgt.

Cannon möchte nachhaltig alle Daten stehlen

Cannon ist auf einen langfristigen Einsatz ausgerichtet, er erstellt alle 10 Sekunden einen Screenshot des Desktops und sammelt alle 5 Minuten die kompletten Systemdaten. Um die gestohlenen Daten möglichst unbemerkt weiterzugeben, verwendet die Malware E-Mails mit Attachments, die an einen von drei Accounts geschickt werden. Diese Accounts werden von einem in Tschechien stationierten Service-Provider betrieben. Von dort gehen die E-Mails dann weiter an Accounts, die von den Angreifern kontrolliert werden.

Die Forscher glauben, dass die Kampagne auf das Konto von Sofacy geht, weil Cannon eben eine dermaßen große Ähnlichkeit mit Zebrocy aufweist. Zebrocy wird fix der Hacker-Gruppe zugeordnet. Zusätzlich existiert noch eine ganze Menge anderer Ähnlichkeiten.

Die letzten Attacken von Fancy Bear zielten laut Palo Alto Networks auf eine regierungsnahe Organisation ab, die sich mit Fremdenpolitik in Europa beschäftigt. Weiter in die Tiefe gehen die Forscher allerdings nicht. Es ist auch nicht klar, ob der Angriff ein Erfolg für die Hacker war bzw. auf welche Daten die Gruppe aus war.

Sofacy hat immer einen Hintergedanken

„Wir können zwar nicht sagen, wie das alles ins Gesamtbild von Sofacy passt. Aber auf Basis unserer kollektiven Forschung als Unternehmen würden wir fast alle darin übereinstimmen, dass es ein Gesamtbild gibt: Die Sofacy-Gruppe macht nichts ohne guten Grund.“

Die Entdeckung neuer Fancy Bear-Aktivitäten folgt auf eine kürzlich entdeckte Phishing-Kampagne, die sowohl auf staatliche als auch private Sektoren in den USA abgezielt waren. Dafür soll aber ein Hacker-Kollege der berüchtigten Truppe sein, die ebenfalls aus Russland stammenden Cozy Bear.

Was lernen wir daraus? Niemals Anhänge ein E-Mails unbekanntem Ursprungs öffnen und schon gar keine Makros aktivieren. Außerdem ist unbestritten, dass auch Hacker dazulernen und sich immer wieder neue Gemeinheiten ausdenken …

Quelle: ZDNet.com; Foto: crello


Erstellt am: 27. November 2018

Artikel aus der gleichen Kategorie:

 
Legal Disclaimer VPNTESTER

Schreibe einen Kommentar