Studie chinesischer Hacker als Phishing-Köder

Angreifer verwenden gefälschte Versionen eines kürzlich veröffentlichten Berichts über eine chinesische Cyberspionage-Gruppe als Köder bei neuen Spear-Phishing-Angriffen gegen japanische und chinesische Benutzer.

Der Bericht war Englisch: www.mjfriendship.de/en/index.php?op…=view&id=167 Am Dienstag veröffentlichte das Sicherheitsunternehmen Mandiant eine detaillierte Dokumentation der Cyberspionage - Kampagnen, die seit 2006 von einer Hacker - Gruppe namens Comment Crew gegen mehr als 100 Unternehmen und Organisationen verschiedener Branchen durchgeführt wurden. Mandiant bezeichnet die Gruppe als APT1 (Advanced Persistent) Bedrohung 1) und behauptet in dem Bericht, dass es wahrscheinlich eine geheime, in Shanghai stationierte Cyberspionageeinheit der chinesischen Armee ist - die Volksbefreiungsarmee (PLA) mit dem Code "Unit 61398".

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Die chinesische Regierung hat die Ansprüche von Mandiant als unbegründet zurückgewiesen. Der Bericht erhielt jedoch sowohl von der IT-Sicherheitsbranche als auch von der breiten Öffentlichkeit viel Aufmerksamkeit.

Es scheint, dass diese Publizität dazu geführt hat, dass sich Angreifer entschieden haben, den Bericht als Köder bei neuen gezielten Angriffen zu verwenden.

Malware maskiert sich als Mandiant-Bericht

Zwei verschiedene Spear-Phishing-Angriffe wurden letzte Woche mit E-Mails mit bösartigen Anhängen entdeckt, die sich als Mandiant-Bericht tarnten, sagte Aviv Raff, Chief Technology Officer des Sicherheitsunternehmens Seculert Angriff gezielt Japanisch sprechende Benutzer und beteiligt E-Mails mit einem Anhang namens Mandiant.pdf. Diese PDF-Datei nutzt eine Schwachstelle in Adobe Reader aus, die von Adobe in einem Notfallupdate gepatcht wurde, erklärten Sicherheitsforscher von Seculert in einem Blogbeitrag.

Die vom Exploit installierte Malware verbindet sich mit einem Command-and-Control-Server Korea, aber kontaktiert auch einige japanische Websites, wahrscheinlich in einem Versuch, Sicherheitsprodukte zu tricksen, sagten die Seculert-Forscher.

Symantec hat auch den Spear-Phishing-Angriff erkannt und analysiert. "Die E-Mail soll von jemandem in den Medien stammen, der den Bericht empfiehlt", sagte der Symantec-Forscher Joji Hamada in einem Blogbeitrag. Es wäre jedoch für eine japanische Person offensichtlich, dass die E-Mail nicht von einem japanischen Muttersprachler geschrieben wurde, sagte er.

Hamada wies darauf hin, dass ähnliche Taktiken in der Vergangenheit verwendet wurden. Bei einem Vorfall im Jahr 2011 nutzten Hacker ein Forschungspapier über gezielte Angriffe, die von Symantec als Köder veröffentlicht wurden. "Sie haben dies getan, indem sie Ziele mit dem eigentlichen Whitepaper zusammen mit in einem Archivanhang versteckter Malware verschickten", sagte Hamada.

Nutzt alten Adobe-Fehler

Der zweite entdeckte Spear-Phishing-Angriff zielt auf chinesischsprachige Benutzer und verwendet einen bösartigen Attachment namens "Mandiant_APT2_Report.pdf".

Laut einer Analyse der PDF-Datei des Forschers Brandon Dixon von der Sicherheitsberatungsfirma 9b + nutzt das Dokument eine ältere Adobe Reader-Schwachstelle, die 2011 entdeckt und gepatcht wurde.

Die Malware installiert auf dem System baut eine Verbindung zu einer Domain, die derzeit auf einen Server in China zeigt, sagte Dixon per E-Mail. "Die Malware bietet Angreifern die Möglichkeit, Befehle auf dem System des Opfers auszuführen."

Der von dieser Malware kontaktierte Domainname wurde auch in der Vergangenheit bei Angriffen gegen tibetische Aktivisten verwendet, sagte Seculerts Raff. Diese älteren Angriffe installierten sowohl Windows- als auch Mac OS X-Malware.

Greg Walton, ein Forscher von MalwareLab, einem Sicherheitsunternehmen, das politisch motivierte Malware-Angriffe verfolgt, sagte auf Twitter, dass der Speer-Phishing-Angriff von Mandiant auf Journalisten abzielte in China. Diese Information konnte nicht durch Raff oder Dixon bestätigt werden, die sagten, dass sie keine Kopien der ursprünglichen Spam-E-Mails, nur der schädlichen Anhänge, die sie enthielten, enthielten.