Dropbox und Google Drive zum Ausliefern von Malware missbraucht
Sicherheitsforscher sind Malware-Angriffen auf Diplomaten auf den Grund gegangen: Cloud-Dienste wie Google Drive und Dropbox sind bei Angreifern beliebt.
(Bild: Pixels Hunter/Shutterstock.com)
Die Threat-Intelligence-Gruppe Unit42 gab bekannt, dass aktuelle Malware-Angriffe über vertrauenswürdige Online-Speicherservices wie Dropbox und Google Drive getarnt würden. Ziel der Angriffe im Mai und Juni 2022 waren laut dem Bericht der Sicherheitsforscher von Palo Alto wohl Botschaften in Portugal und Brasilien. Als Angreifer identifizierte Unit42 die Gruppe Cloaked Ursa, die auch als APT29 bekannt ist. Amerikanische und britische Geheimdienste ordnen APT29 dem russischen Auslandsgeheimdienst Sluschba wneschnei raswedki (SVR) zu.
Spearphishing mit angeblichen Botschafts-Mails
Im May 2022 berichtete die Threat-Intelligence-Gruppe Cluster25 zum ersten Mal von Cloaked Ursas Malware-Aktivitäten unter Einbinden von Dropbox. Daraufhin begann Unit42 mit eigenen Untersuchungen: Unter dem Deckmantel der portugiesischen und brasilianischen Botschaft versendeten Angreifer im Mai und Juni Spearfishing-Mails. Als Köder dienten Links zu einem Agenda.pdf mit angeblichen Terminvorschlägen zum Treffen von Botschaftern. Dabei verwendeten die Angreifer die offiziellen Botschafts-Logos.
(Bild: Unit42 / Palo Alto Networks)
So funktioniert der Angriff
Laut Unit42 löst ein Klick auf die Agenda.html im Phishing-Dokument eine Kette von Aktionen aus, die mit dem Abgreifen von Nutzerinformationen und dem Ausliefern von Malware enden. Die Verknüpfung lädt eine ISO aus dem Zielverzeichnis, die Agenda.exe ausführt. Das Programm tarnt sich dabei als ein von Adobe signierter Prozess. Die Exe lädt zwei DLLs, wovon die zweite eine lauffähige .Net-x64-Datei im Arbeitsspeicher ausführt. Die tarnt sich als Google-Drive-Prozess und sammelt Daten des Nutzers ein. Nach dem Hochladen der Nutzerinformationen in Google Drive lädt der Prozess von dort CobaltStrike auf das Zielsystem herunter und führt dieses aus.
(Bild: Unit42 / Palo Alto Networks)
(Bild: Unit42 / Palo Alto Networks)
Die Ziele: ein NATO-Staat und eine Botschaft in Brasilien
Als Ziele vermutet Unit42 ein NATO-Mitgliedsland für den Angriff im Mai und eine Botschaft in Brasilien für den Angriff im Juni. Das Verwenden von bekannten und weitverbreiteten Storage-Produkten ist laut Unit42 ein neues Verhalten der Gruppe Cloaked Ursa und schwierig zu entdecken, da die beiden Services so weit verbreitet sind.
Der britische und US-amerikanische Geheimdienst ordnen Cloaked Ursa dem russischen Auslandsgeheimdienst SVR zu, dem unter anderem auch die SolarWinds-Hacks zugeschrieben werden; in der Vergangenheit führten die Aktivitäten von Russlands Geheimdienst bereits zu US-Sanktionen. Wie bei SolarWinds war auch im Fall von Hafnium und dem Colonial-Pipeline-Angriff Active Directory eine große Schwachstelle.
Detaillierte Informationen zum Bericht, welchen Code die Programme ausführen und die Hashes der Phishing-Files finden sich im Blog von Unit42.
(pst)
