Unsere Experten sind den Aktivitäten einer neuen cyberkriminellen Gruppe auf die Schliche gekommen, die Industrieunternehmen ausspioniert. Dabei führen die Kriminellen zielgerichtete Angriffe mit einem Tool durch, dass wir als „MontysThree“ bezeichnen. Die Angreifer suchen dabei nach sensiblen Dokumenten auf den Rechnern der Opfer. Die Aktivität der Gruppe geht bis ins Jahr 2018 zurück.
Wie MontysThree Computer infiziert
Die Cyberkriminellen nutzen klassische Spear-Phishing-Techniken, um in die Computer der Opfer einzudringen. Nachdem das Opfer kompromittiert wurde, senden die Angreifer E-Mails mit ausführbaren Dateien an Mitarbeiter von Industrieunternehmen. Die gefährlichen Dateien sehen wie harmlose PDF bzw. Word-Dateien aus, die oftmals gängige Bezeichnungen für technische Dokumentationen oder Kontaktinformationen der Mitarbeiter des Unternehmens tragen. In einigen Fällen versuchen die Angreifer, die Dateien durch Dateinamen wie „Auswertungen der Proben“ oder „Invitro-106650152-1.pdf“ wie medizinische Berichte aussehen zu lassen (Invitro ist eines der größten Medizinlabore Russlands).
Das Ziel der Angreifer
MontysThrees hat es auf spezifische Microsoft Office und Adobe Acrobat Dokumente abgesehen, die in verschiedenen Verzeichnissen und Peripherie-Geräten gespeichert sind. Nach einer Infektion erstellt die Malware ein Profil des Computers des Opfers und sendet Daten wie Systemversion, Prozesse und Desktop-Screenshots an den C&C-Server. Auch eine Liste aller kürzlich geöffneten Dokumente vom Typ doc, .docx, .xls, .xlsx, .rtf , .pdf, .odt, .psw und .pwd, die im Benutzerprofil (USERPROFILE) sowie im Anwendungsverzeichnis (APPDATA) gespeichert sind, werden an die Betrüger weitergeleitet.
Weitere Fähigkeiten von MontysThree
In der Malware finden sich mehrere ungewöhnliche Mechanismen wieder. So extrahiert und entschlüsselt der Loader nach einer Infektion das Hauptmodul der Malware, das mittels Steganografie verborgen wird. Unsere Experten gehen davon aus, dass die Angreifer den Steganografie-Algorithmus von Grund auf neu geschrieben haben, statt sich einer Open-Source-Vorlage zu bedienen, was sonst meistens der Fall ist.
Das Kommunikationsmodul der Malware kommuniziert über öffentliche Cloud-Dienste wie Google, Microsoft, Dropbox und WebDAV mit dem C&C-Server, aber auch Anfragen über RDP und Citrix sind möglich. Darüber hinaus haben die Malware-Ersteller keine Kommunikationsprotokolle in ihren Code eingebettet. Stattdessen verwendet MontyThree legitime Programme (RDP, Citrix-Clients, Internet Explorer) zur Kommunikation.
Um ihre eigene Persistenz im System zu steigern, modifiziert ein Hilfsmodul der Malware die Verknüpfungen in der Schnellstartleiste von Windows. Jedes Mal, wenn der Benutzer also eine Verknüpfung öffnet, startet er unwissentlich auch den MontyThree-Loader.
Wer steckt hinter MontysThree?
Unsere Experten können die Angreifer, die hinter MontysThree stehen, nicht mit anderen Angriffen aus der Vergangenheit in Verbindung bringen. Allem Anschein nach handelt es sich um eine völlig neue cyberkriminelle Gruppe, die basierend auf den Textbausteinen des Malwarecodes Russisch spricht. Dadurch liegt die Annahme nahe, dass russischsprachige Unternehmen höchstwahrscheinlich ihr Primärziel darstellen. Unterstützt wird dieser Verdacht durch die Verzeichnisse, die die Malware untersucht, denn einige von ihnen existieren nur in der kyrillischen Version des Betriebssystems. Obwohl unsere Experten auch Kontodaten für chinesische Kommunikationsdienste gefunden haben, gehen sie davon aus, dass sich es hierbei um eine absichtliche falsche Fährte handelt, die die Spuren der Angreifer verwischen soll.
Sie finden eine detaillierte technische Beschreibung von MontysThree sowie die Kompromittierungsindikatoren in unserem Securelist-Beitrag.
Wie man sich schützt
Erklären Sie allen Mitarbeitern zunächst einmal, dass gezielte Angriffe meistens mit einer E-Mail beginnen. Sie müssen sehr vorsichtig beim Öffnen von Dateien sein, insbesondere wenn es sich um Dateien handelt, die sie nicht erwarten. Um sicherzugehen, dass Mitarbeiter verstehen, warum man wachsam bleiben muss, empfehlen wir, nicht nur über die Gefahren der Unachtsamkeit aufzuklären. Das Fördern von Cybersicherheitskenntnissen ist nämlich genauso wichtig, um Cybergefahren entgegenzuwirken. Kaspersky Automated Security Awareness Platform hilft dabei.
Darüber hinaus empfehlen wir zum Schutz vor gefährlichen APTs die Verwendung integrierter Sicherheitslösungen, die Workstation-Schutz, EDR-Funktionen und zusätzliche Tools zur Analyse und Abwehr von Angriffen kombinieren.