Cyberspionage-Kampagne zielt auf Glücksspiel- und Wettfirmen

Von Trend Micro

2019 setzte sich Talent-Jump Technologies, Inc. mit Trend Micro in Verbindung im Zusammenhang mit einem Backdoor, den sie während einer Incident Response-Aktion entdeckt hatten. Die Sicherheitsforscher von Trend Micro analysierten den Schädling, der von einem Advanced Persistent Threat (APT)-Akteur, von Trend Micro „DRBControl“ genannt, eingesetzt wurde. Der Angreifer zielt auf Nutzer in Südostasien, vor allem auf Glücksspiel- und Wettfirmen. Zwar wurden auch Angriffe in Europa und dem Mittleren Osten berichtet, doch fand Trend Micro keine Beweise dafür. Die exfiltrierten Daten bestanden hauptsächlich aus Datenbanken und Quellcodes, was zu der Annahme veranlasst, dass der Hauptzweck der Gruppe die Cyberspionage ist. Die DRBControl-Kampagne greift ihre Ziele mit einer Vielzahl von Malware und Techniken an, die sich mit denen anderer bekannter Cyberspionageaktionen decken.

Rechercheergebnisse

Der Einbruch setzt in einem ersten Schritt auf Spear Phishing .docx-Dateien. Es werden drei Versionen der infizierten Dokumente verteilt. Der Angreifer nutzt zwei vorher noch nicht identifizierte Backdoors (technische Einzelheiten im Originalbeitrag). Einer der Backdoors setzt den Datei-Hosting-Service Dropbox als Command-and-Control (C&C)-Kanal sowie für das Ablegen verschiedener Payloads ein. In Dropbox Repositories fanden sich auch Informationen wie Befehle oder Tools, Daten zu den Workstations der Opfer und gestohlene Dateien. Dropbox ist darüber informiert und arbeitet gemeinsam mit Trend Micro an der Lösung des Problems.

Zum Arsenal des Cyberkriminellen gehören bekannte Schädlingsfamilien wie das Remote Access Tool PlugX und der HyperBro-Backdoor sowie benutzerdefinierte Tools für den Einsatz nach dem Exploit, so etwa ein Clipboard Stealer, ein Netzwerk Traffic-Tunnel, Brute-Force Tool, ein Retriever von IP-Adressen, ein Password Dumper und andere mehr. Die Kampagne weist einige Verbindungen zu den bekannten APT-Gruppen Winnti und Emissary Panda auf.

Fazit

Gezielte Angriffe unterscheiden sich in der Art und Weise, wie die Bedrohungsakteure bestimmte Ziele aktiv verfolgen und kompromittieren (z.B. durch Spear Phishing), um eine laterale Bewegung im Netzwerk und die Extraktion sensibler Informationen zu ermöglichen. Das Wissen um Angriffswerkzeuge, -techniken und -infrastruktur sowie um Verbindungen zu ähnlichen Angriffskampagnen liefert den notwendigen Kontext, um die potenziellen Auswirkungen abzuschätzen und Abwehrmaßnahmen zu ergreifen.

Detallierte Informationen liefert das Whitepaper „Uncovering DRBControl: Inside the Cyberespionage Campaign Targeting Gambling Operations“.