SECURITY18. Dezember 2019

Hacker versuchen Passwörter von Finanzdienstleistern aus USA und Europa zu stehlen

Cybereason, ein Entwickler von Sicherheitslösungen, warnt vor Hacker-Angriffe, die sich gegen US- und EU-Finanzdienstleister richten.
JRT PHOTO/bigstock.com

Cy­be­re­a­son, ein Entwickler von Sicherheits­lösungen, warnt vor weit­rei­chen­den Ha­cker-An­grif­fen, die sich gezielt ge­gen Fi­nanz­dienst­leis­ter in den USA und Eu­ro­pa rich­ten sollen. Dabei werden auch neue Methoden eingesetzt, die darauf zielen, Passwörter aus Passwort-Managern zu kopieren, warnt der Anbieter.

Cy­be­re­a­son ist ein Ent­wick­ler von Cy­ber-De­fen­se-Platt­for­men, dessen Hauptsitz in Boston im US-Staat Massachusetts liegt. In dem aktuellen For­schungs­be­richt (Studie, kostenlos) sei­ner “Noc­turnus Re­se­arch Group” berichtet der Security-Anbieter von ei­ner neuen Se­rie von Hacking-Kam­pa­gnen, die sich unter anderem ge­gen Ban­ken- und Fi­nanz­dienst­leis­ter, Firmen aus Fer­ti­gung und Pro­duk­ti­on so­wie Ein­zel­han­dels­un­ter­neh­men in den USA und Eu­ro­pa rich­ten.

Übersicht eines Angriffs, wie ihn die Cybereason Defense Platform anzeigt.
Übersicht eines Angriffs, wie ihn die Defense Platform anzeigt. Quelle: Cybereason

Laut As­saf Da­han, Se­ni­or Di­rec­tor­ bei Cy­be­re­a­son (Webseite), lag der Schwerpunkt des Berichts auf den zum Teil neuen Methoden, die Hacker für ihre Angriffe verwenden.

Cybereason

Die Angriffe stehen mit der pri­mär fi­nan­zi­ell mo­ti­vier­ten Ar­beits­wei­se der FIN6-Grup­pe im Zu­sam­men­hang”

As­saf Da­han, Se­ni­or Di­rec­tor­ bei Cy­be­re­a­son

FIN6 ist eine Gruppe, die An­grif­fe ge­gen Point-of-Sale-(POS) Sys­te­me lanciert und die in Verbindung zu diversen Trick­Bot-An­grif­fen stehen soll. Diese bergen die Gefahr, sich zu ei­nem An­griff mit de­sas­trö­sen Fol­gen aus­zu­wei­ten. “Dies kann ein Ran­som­ware-An­griff sein oder der Dieb­stahl von sen­si­blen Fi­nanz­da­ten”, erklärt Dahan.

2019 ha­ben die Si­cher­heits­ana­lys­ten von Cy­be­re­a­son be­reits ei­ne schwer­wie­gen­de Be­dro­hung ent­tarnt, welche die bei­den Tro­ja­ner “Emo­tet” und “Trick­Bot” nutze und die Ransomware “Ryuk” ver­brei­tet. Die Drop­ping-An­chor-Kam­pa­gne be­ginne eben­falls mit ei­ner Trick­Bot-In­fek­ti­on und ent­wi­ckelt sich dann in der Fol­ge zu ei­nem Ha­cker-An­griff, der sich ge­gen sen­si­ble Da­ten in Fi­nanz­sys­te­men rich­tet, so der Bericht.

Neue Malware-Familie Anchor kommt zum Einsatz

Bis­her kon­zen­trier­ten sich der­ar­ti­ge Ope­ra­tio­nen von Ha­ckern dar­auf, Ran­som­ware-In­fek­tio­nen zu ver­ur­sa­chen, in­dem sie wich­ti­ge Sys­te­me wie den Do­main Con­trol­ler kom­pro­mit­tier­ten. Die­ neu­en An­grif­fe ha­ben es aber auf POS-Sys­te­me ab­ge­se­hen. Das Pro­gramm ver­wen­det da­bei ei­ne erst vor kur­zem auf­ge­deck­te Mal­wa­re-Fa­mi­lie na­mens “An­chor”, die sich ge­gen hö­her­wer­ti­ge Zie­le rich­te. Die bis da­to noch nicht do­ku­men­tier­te Anchor-Mal­wa­re, die erst­mals im Au­gust 2018 be­ob­ach­tet wurde, steht offenbar in en­ger Ver­bin­dung zu Trick­bot.

Download und Injektion von TrickBot.
Download und Injektion von TrickBot.Cybereason

Die An­grif­fe rich­ten sich dabei ge­gen die POS-Sys­te­me mit dem Ziel, sen­si­ble In­for­ma­tio­nen zu steh­len. Da­zu wer­den wich­ti­ge Sy­ste­me im Netz­werk der Op­fer über­nom­men und Hin­ter­tü­ren in High-Le­vel-Zie­len eingerichtet. Für be­stimm­te, be­son­ders hoch­ka­rä­ti­ge Zie­le ma­chen die An­grei­fer dabei auch Ge­brauch von ei­ner neu­en Va­ri­an­te des sel­ten auf­tre­ten­den An­chor_DNS-Tools. Die An­chor_DNS-Back­door nutzt das DNS-Pro­to­koll, um un­er­kannt mit den C2-Ser­vern zu kom­mu­ni­zie­ren.

Kann Passwörter aus Password Managern kopieren

Die At­ta­cke nutzte ein neu­es, er­wei­ter­tes Mo­dul von Trick­Bot, das Pass­wör­ter aus ver­schie­dens­ten Pro­duk­ten steh­len kann, da­run­ter auch dem “Kee­Pass Pass­word Ma­na­ger”. Es nutzt aber auch be­kann­te Tools für die wei­te­re Er­kun­dun­g und die an­griffs­ty­pi­schen Seit­wärts­be­we­gun­gen im Netz­werk, darunter Werk­zeu­ge wie Me­ter­pre­ter, PowerS­hell Em­pi­re und Co­balt Strike.

Sie miss­braucht laut Cybereason auch “Trust of Cer­ti­fi­ca­te Aut­ho­ri­ties”. Viele der bei die­sen An­grif­fen ge­nutz­ten schäd­li­chen Pay­loads be­die­nen sich si­gnier­ter Bi­när­da­tei­en. Ein wei­te­rer Be­leg für den wach­sen­den Trend, Zer­ti­fi­ka­te von le­gi­ti­men Zer­ti­fi­zie­rungs­stel­len zu miss­brau­chen, um die Be­dro­hungs­er­ken­nung aus­zutricksen.

Die Studie können Sie kostenlos (ohne Angabe von Kontaktdaten) hier öffnen.hd

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert