Schlagwort-Archive: COVID-19

Gamaredon APT-Guppe setzt auf Covid-19 als Köder

Originalbeitrag von Hiroyuki Kakara and Erina Maruyama

Die Advanced Persistent Threat (APT)-Gruppe Gamaredon ist seit 2013 aktiv und war bislang generell für Angriffe auf ukrainische Regierungsinstitutionen bekannt. Doch kürzlich fanden die Sicherheitsforscher von Trend Micro Mails mit einem Anhang, der die Taktik von Gamaredon nutzte, dabei das Thema Coronavirus als Köder einsetzte, um die Opfer dazu zu verleiten, den Anhang zu öffnen. Die Kampagnen hatten europäische und andere Nutzer zum Ziel.

Bild. Infektionsablauf in der Gamaredon-Kampagne

Im Fall der von Trend Micro entdeckten Mail, startet beim Öffnen des Dokuments im Anhang der Download eines Templates für ein Dokument, das den bösartigen Makro-Code enthält, der wiederum ein VBScript (VBS) ausführt. Zudem gab es einen Mechanismus zum Entschlüsseln, Ausführen und Herunterladen einer zusätzlichen Payload vom C&C-Server. Der C&C-Server war jedoch nicht zugänglich, so dass die Forscher keine zusätzlichen Payloads erhalten konnten.

Alle Angriffe wurden über gezielte Emails durchgeführt (MITRE ATT&CK Framework ID T1193), wobei einer gar den Betreff „Coronavirus (2019-nCoV)“ hatte. Technische Einzelheiten zu den Angriffen umfasst der Originalbeitrag.

Fazit

Gamaredon ist nur eine von vielen Gruppen, die in ihren Angriffen auf COVID-19 als Köder zurückgreift. Informieren Sie sich über weitere Kampagnen, die die Pandemie missbrauchen.

Nutzer können sich vor ähnlichen APT-Angriffen mit folgenden Best Practices schützen:

  • Überprüfen des Mail-Absenders, -Betreffs sowie der Nachricht auf verdächtige Anzeichen, bevor ein Anhang geöffnet oder heruntergeladen wird. Besondere Sorgfalt ist bei Mails geboten, die nicht angefordert wurden und/oder unbekannte Absender haben.
  • Prüfen der Datei-Extension im Anhang, um sicherzugehen, dass es das gewollte Format ist.
  • Keine Makros für Office-Dateien aktivieren. Dies gilt vor allem für Emails, die das fordern.
  • Vorsicht vor gefälschten Domänen, die in E-Mails eingebettet sind. Leichte Änderungen an einer gängigen URL können ein Indikator für bösartige Inhalte sein.

Zusätzlich können Unternehmen einen mehrschichtigen Sicherheitsansatz wählen:

  • Trend Micro Smart Protection Suites und Worry-Free™ Business Security kann vor ähnlichen Bedrohungen schützen, weil die Lösungen bösartige Dateien und Spam-Nachrichten erkennen und alle damit zusammenhängenden bösartigen URLs blockieren. Trend Micro Deep Discovery Email Inspector™ kann bösartige Anhänge und URLs erkennen.
  • Trend Micro Hosted Email Security ist eine wartungsfreie cloudbasierte Lösung, die permanent aktuellen Schutz bietet und Spam, Malware, Spear-Phishing und komplexe, zielgerichtete Angriffe stoppt, bevor sie das Unternehmensnetzwerk erreichen. Hosted Email Security schützt Microsoft Exchange, Microsoft Office 365, Google Apps sowie viele weitere gehostete und lokale Email-Lösungen. Email-Verschlüsselung ist in der Basisversion bereits enthalten.
  • Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.
  • Trend MicroTMXDR unterstützt den Schutz von vernetzten Emails, Endpunkten, Servern, cloudbasierten Workloads und Netzwerken. Leistungsfähige KI und Sicherheitsanalysen von Experten korrelieren Daten aus Kundenumgebungen mit den globalen Bedrohungsinformationen von Trend Micro. Daraus entstehen weniger und präzisere Warnungen.

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.

Aktuell: Netflix-Betrugsmasche in Zeiten des Coronavirus

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Trend Micro Research untersuchte eine neue Betrugsmasche und Phishing-Taktik, die über den Facebook Messenger ausgeführt wird.

Es geht um Nachrichten, die ein kostenloses zweimonatiges Netflix Premium-Abo versprechen:

Bild 1. Schnappschuss der betrügerischen SMS

Eine Short URL (hxxps://bit[.]ly/34phlJE) wird über Facebook Messenger geschickt und leitet die nichtsahnenden Opfer auf zwei mögliche Seiten um.

Erstes Szenario

Ist der Nutzer bereits in sein Facebook-Konto eingeloggt, wird er einfach weiter auf eine gefälschte Netflix-Seite umgeleitet:

Bild 2. Betrügerische Netflix-Seite

Die Seite greift die Facebook-Anmeldeinfos des Opfers ab und erzeugt ein aktives Abo für eine App namens „NeTflix“ in Facebook. Die App ist lediglich ein Hinweis darauf, dass der Nutzer bereits kompromittiert ist. Klickt ein bereits abonnierter Nutzer abermals auf den bösartigen Link, so wird er auf eine zweite Seite umgeleitet (siehe zweites Szenario).

Zweites Szenario

Nutzer, die nicht in ihrem Facebook-Konto angemeldet sind, werden auf die Facebook-Anmeldeseite umgeleitet und nach Angabe ihrer Login-Infos an die betrügerische Seite aus dem ersten Szenario weiter geleitet.

Klickt der Nutzer den „Not now“-Button an, wird er zur gefälschten Netflix-Seite geleitet. Hier findet er ein gefälschtes Netflix-Angebot und eine Umfrage mit Fragen zu COVID-19 und den eigenen Sauberkeitsgepflogenheiten. Die Betrüger nutzten kostenlose, neu erstellte Domänen, die keinen Bezug zu Netflix haben.

Bild 3. Betrügerisches Netflix-Angebot

Zuletzt wird der Nutzer aufgefordert, die Umfrage mit zwanzig Freunden oder fünf Gruppen zu teilen oder diese aufzufordern, die Umfrage ebenfalls auszufüllen, bevor er fortfahren kann und das gefälschte kostenlose Netflix-Abo erhält.

Unabhängig davon, ob Benutzer am Ende der Umfrage auf ‚Senden‘ oder ‚Weiter‘ klicken, werden sie auf dieselbe Seite weitergeleitet – eine Facebook-Freigabeaufforderung. In diesem nächsten Schritt werden die Opfer erneut angehalten, bösartige Links über „Teilen“ für Facebook-Kontakte zu verbreiten. Danach soll sich der Nutzer bei Facebook anmelden. Nach der Anmeldung werden sie zu einem automatisch generierten Beitrag weitergeleitet. Wenn Sie auf „Post“ klicken, wird ein Status über den bösartigen Link auf der Facebook-Seite des Nutzers gepostet.

Trend Micro hat die folgenden URLs als bösartig erkannt und sie bereits blockiert:

  • hxxp://bit[.]ly/3ec3SsW — flixx.xyz
  • hxxp://bit[.]ly/2x0fzlU — smoothdrive.xyz
  • hxxp://bit[.]ly/39ZIS5F — flixa.xyz

Empfehlungen

Diese Art von Angriffen lassen sich vermeiden:

  • Keine Links oder geteilte Dateien aus unbekannten Quellen anklicken.
  • Prüfen, ob die geteilte Information aus einer legitimen Quelle stammt.
  • Prüfen der URLs oder Websites, die nach persönlichen Informationen fragen.
  • Keine persönlichen Informationen oder Anmeldedaten an nicht verifizierte Sites geben.

Einzelheiten zu den Bedrohungsarten sowie zu früheren bösartigen Kampagnen liefern die entsprechenden Blogeinträge. Darüber hinaus sind dies die aktuellen Zahlen zu COVID-19 bezogenen Bedrohungen im ersten Quartal 2019.

Schutz vor diesen Bedrohungen

Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.

Botschaft unseres COO bezüglich Trend Micros Kunden-Engagements während der Coronavirus-Pandemie

Der Ausbruch der Coronavirus-Epidemie beherrscht das Leben der Menschen auf der ganzen Welt und wirkt sich überall auf Einzelpersonen, Familien, Communities und Unternehmen aus. Für Trend Micro ist das oberste Anliegen, dafür zu sorgen, dass unsere Mitarbeiter und ihre Familien so sicher wie möglich sind. Unsere Gedanken sind bei denen, die vom Virus betroffen sind.

Unser Team hat sich ausführlich mit möglichen Optionen auseinandergesetzt, um sowohl den durchgängigen Schutz unserer Kunden und Partner als auch die körperliche Sicherheit unserer Mitarbeiter zu gewährleisten. Wir wissen auch, dass sich die Lage auf Basis der täglich neuen Informationen ständig ändert, und wir werden darauf mit entsprechenden Aktualisierungen reagieren. In der Zwischenzeit bieten wir wie gewohnt den bestmöglichen Service und Support, den unsere Kunden, Partner und Lieferanten in dieser Situation von unserem Unternehmen erwarten.

Wir sind uns der maßgeblichen Bedeutung bewusst, die Trend Micro für den Schutz Ihres Unternehmens und Ihrer Mitarbeiter hat. Deshalb haben wir verschiedene Maßnahmen ergriffen, um zu verhindern, dass die COVID-19-Krise Ihre Erfahrung mit Trend Micro-Produkten oder -Dienstleistungen beeinträchtigt.

Unser Team hat folgende Maßnahmen ergriffen, um sowohl die Sicherheit unserer Mitarbeiter zu gewährleisten, als auch einen problemlosen Geschäftsbetrieb zu ermöglichen:

Sicherheit der Mitarbeiter
Unsere oberste Priorität ist die Gesundheit und Sicherheit unserer Mitarbeiter auf der ganzen Welt. Um diese sicherzustellen, haben wir folgende Best Practices umgesetzt:

  • Richtlinien internationaler und lokaler Behörden: Alle unsere weltweiten Standorte befolgen die Richtlinien und Best Practices des Center for Disease Control (CDC) sowie anderer weltweiter Gesundheitsorganisationen und lokaler Behörden.
  • Möglichkeit der Remote-Arbeit: Viele Teams bei Trend Micro arbeiten seit schon über einem Jahrzehnt remote aus allen Teilen der Welt. Dank dieser Praxis konnten wir Ihnen schon immer auch in Zeiten, in denen „Social Distancing“ gefordert ist, Produkte und Services von Weltklasse bieten. Mit der COVID-19-Krise haben wir unsere Belegschaft, wo immer möglich, auf virtuelle/remote Standorte verlagert. Geschäftskritische Prozesse vor Ort werden bei Bedarf aufrechterhalten. Bislang haben wir keine größeren Auswirkungen auf unsere Geschäftstätigkeiten als Folge dieser vorübergehenden Verlagerung erfahren. Wir beobachten die Lage auch weiterhin genau und passen gegebenenfalls unsere Maßnahmen an, sodass wir unseren Kunden und Partnern weiterhin einen erstklassigen Schutz und Service bieten können.
  • Reisebeschränkungen: Wir haben alle internationalen Reisen ausgesetzt und gestatten nur noch wichtige Inlandsreisen, wenn diese nach lokalen Gesetzen erlaubt sind (und im Einvernehmen mit den betroffenen Mitarbeitern). Da täglich neue Beschränkungen eingeführt werden, beobachten wir diese Situation weiterhin genau und werden entsprechend reagieren.
  • Stetige Wachsamkeit: Ein abteilungsübergreifendes Team bei Trend Micro beobachtet alle Aspekte der Krise genau und wird umsichtig, agil und schnell die notwendigen Maßnahmen ergreifen, um die Sicherheit unserer Mitarbeiter zu gewährleisten. Wir sind entschlossen, unseren Teil dazu beizutragen, die Ausbreitung von COVID-19 zu minimieren und dennoch unsere Dienstleistungen für Sie sicherzustellen.

Fortbestand unseres Service

Wir werden weiterhin den Sicherheitsbedarf Ihrer Organisation unterstützen – einschließlich der folgenden Bereiche, aber auch darüber hinaus:

  • Produktinfrastruktur: Alle Trend-Produkte setzen auf einer äußerst zuverlässigen kommerziellen Cloud-Infrastruktur auf und werden über eine Vielzahl von Content-Delivery-Netzwerken bereitgestellt. Dazu gehören auch unsere ISO 27001-zertifizierten SaaS-Angebote.
  • Support-Infrastruktur: Unsere wichtigsten globalen Support-Zentren wurden bereits auf Remote-/virtuellen Betrieb umgestellt und tun ihr Bestes, um die Kundenerfahrung so nahtlos wie möglich zu gewährleisten.
  • Flexibilität: Wie alle Best-in-Class SaaS-Organisation, sind wir auch in der Lage, das Monitoring aller Systeme und der Produktentwicklung aus der Ferne durchzuführen.
  • Supply Chain: Wir arbeiten eng mit unseren weltweiten Zulieferern und Technologie-Providern/Partnern zusammen, um sicherzustellen, dass die Verfügbarkeit und der normale Betrieb unserer Produkte und Dienstleistungen nicht durch Maßnahmen unserer Zulieferer und Partner beeinträchtigt werden.
  • Belastbarkeit: Unsere F&E-, Support- und anderen Technologieteams arbeiten geografisch verteilt, sind aber dennoch ein globales und hochgradig koordiniertes Team, das sich der Unterstützung Ihrer Geschäftsanforderungen widmet. Wir sind seit Jahrzehnten mit diesem Modell erfolgreich und betrachten es als eine der inhärenten Stärken von Trend Micro, um auch in Krisenzeiten wie dieser weiterhin ein zuverlässiges Betriebsmodell zur Verfügung zu haben.

Wir sind Optimisten und glauben daran, dass aus dieser schwierigen Situation neue Arten der Zusammenarbeit und Innovationen entstehen werden, die uns alle in Zukunft stärker machen.

Wenn Sie Fragen oder Anliegen haben, wenden Sie sich bitte wie immer an Ihren lokalen Kundenbetreuer oder an einen autorisierten Trend Micro Support-Kontakt. Wir beobachten die globale Lage weiterhin genau, reagieren entsprechend und kommunizieren jede wesentliche Änderung an unsere Kunden und Partner.

Im Namen aller Mitarbeiter von Trend Micro danken wir Ihnen für Ihr Vertrauen in unser Unternehmen. Wir wünschen Ihnen und Ihren Familien, Mitarbeitern und Kunden Gesundheit und Sicherheit.

Mit freundlichen Grüßen,

Kevin Simzer

Chief Operating Officer

Trend Micro Incorporated