Keine „Monkeys“ für CozyDuke

Die CozyDuke-APT zielt auf profilierte Opfer ab – unter anderem die US-Regierung. Dabei nutzt sie in der ersten Angriffswelle ausschließlich Social-Engineering-Methoden.

Erneut zielt eine Advanced Persistent Threat (APT) der Duke-Familie auf profilierte Opfer ab – unter anderem die US-Regierung. Diesmal ist es CozyDuke, auch bekannt als CozyBear, CozyCar oder (in Anlehnung an das Video, das die Attacke als Köder nutzt) Office Monkeys.

Der Angriff ist bemerkenswert ausgefeilt, inklusive verschlüsselter Komponenten, Anti-Entdeckungs-Fähigkeiten und ziemlich gut entwickelter Schadprogrammkomponenten, die strukturelle Ähnlichkeiten mit den früheren MiniDuke-, CosmicDuke- und OnionDuke-Bedrohungen aufweisen.

Office Monkeys sind gefährlich

Wirklich erwähnenswert ist aber, dass die Attacke in der ersten Angriffswelle komplett auf Social-Engineering-Methoden setzt. Und leider ist das bei vielen Angriffszielen recht erfolgreich.

Die Angreifer bieten ein extrem lustiges Video über im Büro arbeitende Affen als Köder. Die Archivdatei, inklusive einem ausführbaren Video, wird per Spear-Phishing-Mails ausgeliefert, die einen Anhang oder einen Link zu einer Webseite enthalten – manchmal zu einer legitimen und sogar hoch respektierten Webseite, die kompromittiert worden ist.

Während das Video läuft, wird heimlich der Dropper der Attacke installiert und ist dann bereit, Kommandos und Schadprogrammkomponenten der zweiten Angriffswelle von den Command-&-Control-Servern zu empfangen.

Die Cyberkriminellen hatten sich nicht getäuscht, dass viele der Empfänger das Video starten würden. Und sie schauten es nicht nur selbst an, sondern leiteten es auch an Kollegen weiter, so dass sie bei der Verbreitung des Schädlings sogar noch halfen. Wenn man den Status der angegriffenen Zielpersonen bedenkt, kann man sich vorstellen, wie viele vertrauliche Informationen damit potenziell gestohlen werden konnten.

Die Frage ist also: Wie kann man sich vor so einer Bedrohung schützen, wenn sogar die vertrauenswürdigsten Angestellten gegen die sorgfältig aufgebauten Sicherheitsmaßnahmen arbeiten? Man sollte niemals die Macht des Social Engineering unterschätzen. Wie viele loyale Angestellte würden sich schon sträuben einen Link in einer (sorgfältig gefälschten) E-Mail ihres Chefs anzuklicken?

So schützen Sie sich vor Bedrohungen wie Office Monkeys

Es gibt mehrere grundlegende Sicherheitsmaßnahmen, die auch vor den anspruchsvollsten und sorgfältigst geplanten APTs schützen. So kann ein einfaches Entziehen von Administratorrechten zusammen mit dem rechtzeitigen Schließen von Sicherheitslücken mit Patches und der Beschränkung erlaubter Programme bis zu 85 Prozent der durch zielgerichtete Attacken ausgelösten Vorfälle verhindern.

Die Programmkontrolle von Kaspersky Lab mit ihrem dynamischen Allowlisting ist dabei eine große Hilfe. Das Monkey-Video – genau wie die anderen Schadprogrammkomponenten von CozyDuke – hätte sich nicht ohne Erlaubnis des Systemadministrators starten können.

Manche Mitarbeiter haben vielleicht limitierte Pflichten und Verantwortlichkeiten, da sie täglich mit höchst vertraulichen Informationen arbeiten. So ein Arbeitsszenario kann am besten mit Einführung eines Standard-Deny-Applications-Control-Modus geschützt werden, so dass ausführbare Programmdateien streng auf solche Systemkomponenten und Programme limitiert werden, die für die Arbeit des Kollegen absolut notwendig sind.

Andere nützliche Strategien, vor allem für Behörden und stark reglementierte Branchen, sind unter anderem:

– Web-Kontrollmodule, um den Internetzugriff auf erlaubte Web-Ressourcen zu beschränken, die ausschließlich mit der Arbeit zu tun haben – oder zumindest auf bestimmte Seitenkategorien.

– E-Mail-Content-Filter, etwa Kaspersky Security for Exchange oder Kaspersky Security for Linux Mail, um verdächtige E-Mails und Anhänge (etwa Archivdateien) zu filtern – eventuell je nach Aufgabe und Firmenzugehörigkeit des Empfängers.

– Gerätekontrolle, um unerwünschte Datenübertragung über den Sicherheitsperimeter hinaus, von außen in das Unternehmen und sogar innerhalb des Sicherheitsbereichs der Firma zu blockieren. Das hilft, die Verbreitung von Schadprogrammen zu verhindern, kann aber auch Schutz vor absichtlichem Datendiebstahl bieten.

– Spezielle Sicherheitstrainings für Mitarbeiter, wie sie auch von Kaspersky Lab als Teil der Security Intelligence Services angeboten werden. Das Verbessert das Bewusstsein und Verständnis für die Gefahren, die auch in gut geschützten Büros auf die Mitarbeiter zukommen können. Zudem schult es sie darin, anscheinend unschuldige, allerdings dennoch unsichere Aktivitäten, zu vermeiden, die dem Arbeitgeber finanziellen Schaden, oder im Fall von Behörden sogar eine Bedrohung für das eigene Land bringen können.

Denken Sie größer

Vor einem Angriff erkunden APT-Kriminelle zunächst die Organisation, die sie angreifen wollen – inklusive den Mitarbeitern, Geschäftsprozessen und den aktuell eingesetzten Sicherheitslösungen. Dieses Wissen wird dann genutzt, um die Sicherheitslücken des Ziels einzuschätzen und existierende Sicherheitsmaßnahmen zu umgehen.

Wenn man es mit APTs zu tun hat, ist es absolut notwendig, einen vielschichten Sicherheitsansatz zu wählen und die vertraute Anti-Malware-Software mit einer Reihe proaktiver Sicherheitsmaßnahmen zu erweitern, die verschiedene Teile des IT-Netzwerks abdecken. Damit wird man für APTs uninteressant.

Tipps