Kürzlich das Microsoft Threat Intelligence Center (MSTIC) Kurz nach Microsoft, Kurz nach Microsoft.
“Kurz nach Microsoft, Kurz nach Microsoft, Kurz nach Microsoft,” geht im Beitrag von MSTIC.
Die Gruppe versuchte beharrlich, Zugang zu Organisationen in der Ukraine oder zu mit ukrainischen Angelegenheiten verbundenen Organisationen zu erhalten. MSTIC hat die ACTINIUM-Aktivität zuvor als DEV identifiziert-0157. Auf der Weltbühne ist die Gruppe eher unter dem Namen Gamaredon bekannt.
Was ist Gamaredon/ ACTINIUM??
Die Untersuchung konzentriert sich auf die Aktivitäten der Gruppe in den letzten sechs Monaten und liefert Details darüber, welche Tools Bedrohungsakteure verwenden und wie sie diese einsetzen. Nach Angaben des MSTIC scheint die Gruppe von dem derzeit besetzten Standort aus zu operieren Russland Halbinsel Krim. Die ukrainische Regierung öffentlich erklärt dass der russische Föderale Sicherheitsdienst (FSB) steht hinter der Aktivität dieser Gruppe.
ACTINIUM hat Organisationen in der Ukraine ins Visier genommen, darunter auch das Militär, Regierung,Nichtregierungsorganisationen (NGO),Strafverfolgung, Justiz und viele gemeinnützige Organisationen. Die Hauptabsichten der Gruppe bestehen darin, vertrauliche Informationen herauszufiltern und gleichzeitig den Zugang zu verwandten Organisationen aufrechtzuerhalten. Microsoft teilte die Informationen in dem Bericht den ukrainischen Behörden mit.
Seit Oktober 2021 ACTINIUM hat zahlreiche Konten bei Organisationen ins Visier genommen oder kompromittiert, die für die Notfallreaktion und die Gewährleistung der Sicherheit von entscheidender Bedeutung sind Ukrainisches Territorium. Bedrohungsakteure nehmen auch Organisationen ins Visier, die der Ukraine in einer Krise humanitäre und internationale Hilfe leisten würden.
Die Spezialisten des MSTIC sagen, dass sich die Aktivität dieser Bedrohungsgruppe erheblich von den zuvor festgestellten unterscheidet Malware-Angriffe von DEV-0586. Das Team stellte fest, dass sich die Aktivitäten der Gruppe nur auf Organisationen in der Ukraine beziehen und keine ungepatchten Schwachstellen in Microsoft-Produkten und -Diensten ausnutzen.
MSTIC stellt außerdem fest, dass sich die Taktiken von Gamaredon/ACTINIUM ständig weiterentwickeln und die im Blog beschriebenen nicht das gesamte Ausmaß der Angriffe dieser Bedrohungsgruppe abdecken. Die vom MSTIC-Team erfassten Beobachtungen sind nur einige der konsistentesten und bemerkenswertesten Beobachtungen.
Beschreibung der Gamaredon/ACTINIUM-Aktivität
Eine der Methoden, die die Gruppe verwendet, um den ersten Zugriff zu erhalten, ist die Speerfischen der gezielten Opfer. Die von einer Gruppe gesendeten E-Mails enthalten schädliche Makroanhänge, die anschließend Remote-Vorlagen verwenden.
Bei der Remote-Vorlageninjektion handelt es sich um eine Methode, mit der ein Dokument eine Remote-Dokumentvorlage lädt, die den Schadcode enthält, In diesem Fall, Makros. Diese Methode stellt sicher, dass das Opfer die schädlichen Inhalte nur dann lädt, wenn sie von den Bedrohungsakteuren benötigt werden. Wenn ein Benutzer das schädliche Dokument öffnet, Zum Beispiel.
Der Einsatz einer solchen Methode ermöglicht es Angreifern auch, der Erkennung durch Systeme, die nach schädlichen Inhalten suchen, erfolgreich zu entgehen. In Ergänzung, Bösartige Makros geben Angreifern die Möglichkeit zu steuern, wann und wie die bösartige Komponente bereitgestellt wird. Dies ermöglicht es der Bedrohungsgruppe zusätzlich, einer Entdeckung zu entgehen.
Den Beobachtungen von MSTIC zufolge tarnt diese Bedrohungsgruppe ihre bösartigen E-Mails als E-Mails, die von legitimen Organisationen gesendet werden. In einigen vom MSTIC bereitgestellten Beispielen verschleierten sie die E-Mails, die angeblich von Weltgesundheitsorganisationen verschickt wurden.
Zusätzlich zu den Makros nutzt die Bedrohungsgruppe auch Web-Bugs, um zu verfolgen, wann eine Nachricht geöffnet und geändert wurde. Diese Fehler sind an sich nicht bösartig, können aber einen Hinweis darauf geben, dass die empfangene E-Mail möglicherweise bösartig ist. Die Gamaredon/ACTINIUM-Makroanhänge enthalten eine Nutzlast der ersten Stufe, die weitere Nutzlasten herunterlädt und ausführt.
Für die Spezialisten war jedoch unklar, warum es in manchen Fällen zu mehreren aufeinanderfolgenden Stadien kam. MSTIC geht davon aus, dass dies getan werden kann, um die Wahrscheinlichkeit zu erhöhen, dass voll funktionsfähige Schadfunktionen weniger wahrscheinlich von Erkennungssystemen erkannt werden.
Die Bedrohungsgruppe behält ihre Beharrlichkeit bei und sammelt Informationen
MSTIC kam zu dem Schluss, dass der Hauptzweck der Gruppenaktivität darin besteht, sensible Informationen aus den Netzwerken, auf die zugegriffen wird, zu überwachen und zu sammeln. Um die nächsten Schritte durchzuführen, setzt die Bedrohungsgruppe zunächst interaktive Zugriffstools ein; Am bekanntesten und mit den am weitesten entwickelten Funktionen wird „Pterodo“ sein. .
Ein weiteres Beispiel ist UltraVNC, eine legitime und voll funktionsfähige Open-Source-Remotedesktopanwendung. Dadurch kann die Bedrohungsgruppe problemlos mit einem Zielhost interagieren. Die Tatsache, dass die Bedrohungsgruppe nicht auf benutzerdefinierte Binärdateien angewiesen ist, stellt sicher, dass die Anwendung von Sicherheitsprodukten nicht erkannt oder gelöscht wird.
Nachdem Sie interaktiven Zugriff auf die anvisierte Netzwerkbedrohungsgruppe erhalten haben, setzen Sie als Nächstes die große Vielfalt an Malware ein. MSTIC hat die Malware-Beispiele analysiert und sie in die folgenden Malware-Familien eingeteilt:Pterodo,PowerPunch,ObfuMerry,ObfuBery,DilongTrash,DesertDown,DinoTrain,QuietSieve.
Was sind die Anzeichen einer schädlichen Wirkung von Gamaredon/ACTINIUM??
Für die Microsoft-Kunden hat das Team Ratschläge zur Erkennung dieser Bedrohungsgruppenaktivität erstellt.
Als Nächstes folgen diejenigen, die E-Mails betreffen:
- Malware wurde nicht gezapft, da ZAP deaktiviert ist;
- Malware-Kampagne erkannt und blockiert;
- Nach der Auslieferung wurde eine Malware-Kampagne erkannt;
- Vom Benutzer als Malware oder Phish-E-Mail gemeldet;
- Nach der Zustellung der E-Mail-Nachricht entfernt;
- Nach der Zustellung entfernte E-Mail-Nachricht, die Malware enthielt;
- Nach der Zustellung entfernte E-Mail-Nachricht, die eine schädliche Datei enthielt.
Die oben genannten Sicherheitswarnungen sollten auf Bedrohungsaktivitäten im Zusammenhang mit dieser Bedrohungsgruppe hinweisen. Die Warnungen stehen jedoch möglicherweise nicht unbedingt im Zusammenhang mit Gamaredon/ACTINIUM. Das Team stellte sie zur Verfügung, falls sie auftreten, sollten Benutzer sofort die Ursache untersuchen und dabei die Schwere der Aktivitätsfolgen der Gruppe berücksichtigen.
Zu den Warnungen im Sicherheitscenter, die ebenfalls auf diese Gruppenaktivität hinweisen, gehören::
- Verdächtig aussehender Prozess, der Daten an ein externes Netzwerk überträgt;
- Bereitstellung sensibler Daten;
- Zweifelhafte Screenshot-Aktivität;
- Eine ungewöhnliche Datei, die erstellt und einem Run Key hinzugefügt wurde;
- Es wurde eine abnormale geplante Aufgabe erstellt;
- Seltsame dynamische Linkbibliothek geladen;
- Anormaler Prozess, der einen codierten Befehl ausführt.
Die Liste umfasste auch verschiedene Aktivitäten im Zusammenhang mit der verdächtigen Ausführung einer Akte.
