Adobe Flash Player: APT-Gruppierungen nutzten Zero-Day-Exploit schnell aus

FireEye hat neue Phishing-Kampagnen bekannter Gruppierungen beobachtet. Nach dem Bekanntwerden der Zero-Day-Sicherheitslücke CVE-2015-5119 im Adobe Flash Player hat das FireEye-as-a-Service-Team gezielte Angriffe der Gruppierungen APT3 und APT18 verfolgt, die Unternehmen aus unterschiedlichen Branchen ins Visier nahmen. Noch bevor Adobe in einen Patch für die Sicherheitslücke veröffentlichen konnte, hat es Angriffe beider Gruppierungen gegeben, die ihr schnelles Reaktionsvermögen und ihren hohen Professionalisierungsgrad eindrucksvoll zur Schau stellen.

Angriffe von APT3 wurden bei mindestens zehn Kunden von FireEye in den Branchen Luftfahrt und Verteidigung, Bauwesen, Energiewirtschaft, Technologie, Non-Profit, Telekommunikation und Logistik beobachtet. Ähnlich wie bereits bei der Kampagne Operation Clandestine Wolf wurden unter anderem schädliche Adobe-Flash-Dateien und der SHOTPUT-Payload verwendet. Dies ist bereits das dritte Mal seit Mitte 2014, dass APT3 eine Zero-Day-Sicherheitslücke ausnutzt.

APT18 führte Phishing-Kampagnen bei mindestens 13 Unternehmen in den Branchen Luftfahrt und Verteidigung, Bauwesen, Bildung, Gesundheitswesen, Technologie, Telekommunikation und Logistik durch. Die Gruppierung nutzte GH0ST RAT für ihre Angriffe. Obwohl sie dieselbe Sicherheitslücke nutzten, gibt es keine Hinweise darauf, dass APT3 und APT18 bei ihren Angriffen zusammen arbeiten.

»Die Kampagnen der beiden Gruppierungen zeigen, wie schnell und effizient professionelle Angreifer reagieren können«, sagt Frank Kölmel, Vice President Central & Eastern Europe bei FireEye. »Sicherheitsverantwortliche müssen nach Bekanntwerden von Sicherheitslücken unmittelbar reagieren und unsichere Software aktualisieren, bevor sie zum Einfallstor für Cyberkriminelle wird.«


 

illu pferd reiter lasso db freeHackergruppe APT3 greift US-Regierung mit Flash-Exploit an

Das Anti-Malware-Team von Palo Alto Networks, Unit 42, hat eine Spear-Fishing-Attacke beobachtet, die sich gegen die US-Regierung wendet. Bei dem Angriff nutzen die Hacker eine Sicherheitslücke von Adobe Flash, die bereits in der vergangenen Woche beim Angriff auf die italienische Firma Hacking Team genutzt wurde. Beim vorliegenden Fall weisen die Spuren zu einer IP-Adresse in der Ukraine.

Die Experten von Palo Alto Networks vermuten hinter dem Angriff einen Fall von DNS-Hijacking. Aufgrund weiterer Parallelen zu vergangenen Attacken, wie beispielsweise dem Ausnutzen der Zero-Day Schwachstelle CVE-2015-3113 vermuten die IT-Sicherheitsprofis von Palo Alto Networks die Hackergruppe APT3 (auch bekannt als UPS) hinter den Angriffen.

Die gefährliche Flash-Datei mit dem Namen »show.gif« beinhaltet ein ActionScript, das die Flash-Schwachstelle nutzt und Quellcode ausführt um letztendlich schädliche Software zu installieren. Der Ansatz, den schädlichen Code in einem animated Gif zu verstecken entspricht dem Vorgehen der APT3-Attacken, bei den Schwachstellen 5119 und 3113. Außerdem nutzen beide Quellcodes den gleichen Algorithmus und Key Values beim Entschlüsseln der schädlichen Software von Chipertext zu Cleartext. Eine genaue Analyse von Unit42 zeigt, dass sich beide Quellcodes nur durch einen Eintrag unterscheiden.

»Diese Attacken belegen, wie schnell Advanced Persitent Threat-Gruppen wie APT3 beziehungsweise UPS neue Schwachstellen für Angriffe auszunutzen versuchen. Es gibt zwar ein Patch für die genannte Schwachstelle, aber es wurde erst an dem Tag veröffentlicht, als die Schwachstelle erstmals missbraucht wurde«, berichtet Thorsten Henning. »Damit haben Organisationen nur sehr wenig Zeit, sich umfassend zu schützen. Da die Hacker bei dieser Art von Angriff sehr zielgerichtet vorgehen, sind herkömmliche Enttarnungsmethoden, die auf bekannte IOCs setzen, nur bedingt hilfreich. Wesentlich besseren Schutz versprechen Mechanismen, bei denen automatisierte, verhaltensbasierte Schutzmaßnahmen zum Einsatz kommen. Dadurch geht weniger Zeit verloren und die gefährdeten Organisationen müssen nicht erst auf einen Patch warten, der an den entsprechenden Stellen manuell implementiert werden muss.«

Weitere Informationen zum Flash-Exploit finden Sie unter … https://researchcenter.paloaltonetworks.com/2015/07/apt-group-ups-targets-us-government-with-hacking-team-flash-exploit/