Unsere Experten haben die Aktivitäten von Andariel, eine vermeintliche Untergruppe der APT-Gruppe Lazarus, genauer analysiert. Die Cyberkriminellen verwenden die Malware DTrack sowie die Ransomware Maui, um Unternehmen weltweit anzugreifen. Typischerweise versucht die Gruppe mit ihren Angriffen finanzielle Gewinne zu erzielen – dieses Mal durch Lösegeldforderungen.
Zielobjekte der Angriffe
Unsere Experten sind zu dem Schluss gekommen, dass sich die Andariel-Gruppe nicht auf eine bestimmte Branche konzentriert, sondern bereit ist, jedes Unternehmen anzugreifen. Im Juni berichtete die US-Behörde für Cyber- und Infrastruktursicherheit (CISA), dass die Ransomware Maui hauptsächlich auf Unternehmen und Regierungsorganisationen im US-Gesundheitssektor abzielt. Unser Team entdeckte jedoch auch mindestens einen Angriff auf ein Immobilienunternehmen in Japan und machte mehrere Opfer in Indien, Vietnam und Russland ausfindig.
Angewandte Tools
Das Haupt-Tool der Andariel-Gruppe ist die seit langem etablierte Malware DTrack. Sie sammelt Informationen über ein Opfer und sendet sie an einen Remote-Host. Unter anderem sammelt DTrack den Browserverlauf und speichert ihn in einer separaten Datei. Die bei Andariel-Angriffen verwendete Variante ist in der Lage, die gesammelten Informationen nicht nur über HTTP an den Server der Cyberkriminellen zu senden, sondern sie auch auf einem Remote-Host im Netzwerk des Opfers zu speichern.
Stoßen die Angreifer auf für Sie interessante Daten, kommt die Ransomware Maui ins Spiel. Sie wird in der Regel 10 Stunden nach der Aktivierung der DTrack-Malware auf den angegriffenen Hosts entdeckt. Unsere Kollegen von Stairwell haben einige der ihnen vorliegenden Proben analysiert und sind zu dem Schluss gekommen, dass die Ransomware manuell von den Betreibern gesteuert wird – das heißt, sie legen fest, welche Daten verschlüsselt werden.
Ein weiteres Tool, das die Angreifer zu verwenden scheinen, ist 3Proxy. Dieser legitime, kostenlose, plattformübergreifende Proxy-Server ist wahrscheinlich aufgrund seiner kompakten Größe für Angreifer von besonderem Interesse. Tools wie dieses können verwendet werden, um den Fernzugriff auf einen kompromittierten Computer aufrechtzuerhalten.
So verbreitet die Gruppe Andariel ihre Malware
Die Cyberkriminellen nutzen ungepatchte Versionen von öffentlichen Online-Diensten aus. In einem dieser Fälle wurde die Malware von einem HFS (HTTP File Server) heruntergeladen. Die Angreifer nutzten hier eine unbekannte Schwachstelle aus, die es ihnen ermöglichte, ein Powershell-Skript über einen Remote-Server auszuführen. In einem anderen Fall gelang es den Angreifern, einen WebLogic-Server über eine Schwachstelle (CVE-2017-10271) zu kompromittieren, die ihnen schließlich die Ausführung eines Skripts ermöglichte.
Eine detailliertere technische Beschreibung des Angriffs und der eingesetzten Tools sowie Hinweise auf eine Kompromittierung finden Sie in unserem Beitrag auf Securelist.
So schützen Sie sich
Zunächst sollten alle Unternehmensgeräte, auch die Server, mit einer robusten Sicherheitslösung ausgestattet sein. Darüber hinaus ist es für den hypothetischen Fall einer Infektion ratsam, bereits im Voraus eine angemessene Anti-Ransomware-Strategie und -Maßnahmen zu entwickeln.