zurück zur Übersicht

HIDDEN COBRA – Vorsicht Schlange!

In der Natur lauern bisweilen Gefahren und am gefährlichsten sind die, die man nicht so einfach sieht. Schlangen zum Beispiel, die sich oft gut getarnt auf die Lauer legen, um im günstigsten Moment ihre überraschten Opfer zu überwältigen. Diese oder ähnliche Überlegungen mögen bei der Namenswahl einer Gruppe eine Rolle gespielt haben, die hinter verschiedenen Cyberattacken steckt. Deren Vorgehen wird schon geraume Zeit durch DHS (Department of Homeland Security) und FBI (Federal Bureau of Investigation) beobachtet. Die Rede ist von HIDDEN COBRA (aka Lazarus Group). Sie wird, soweit das überhaupt möglich ist, Nordkorea zugeordnet und ist seit dem Ausbruch der Ransomware WannaCry in den Fokus der Ermittlungsbehörden gerückt. Die Infiltration von Organisationen zum Zwecke der Informationsbeschaffung und die daraus resultierende politische Einflussnahme, sowie militärische Handlungsoptionen gehören üblicherweise zu den Aufgaben dieser sog. State-sponsored Hackers. In diesem konkreten Fall wird jedoch vermutet, dass die Beschaffung von Devisen ebenfalls eine der Kernaufgaben von HIDDEN COBRA ist, was nahezu jedes Unternehmen und jede Organisation auf deren Abschussliste setzt. Nordkorea ist durch Sanktionen wirtschaftlich isoliert und muss Devisen auf anderen Wegen beschaffen, um den Staatshaushalt und mit ihm auch seine Militärprogramme finanzieren zu können.

TYPEFRAME, der Neuling im Trojaner-Universum

Seit dem WannaCry-Vorfall trackt auch das US-CERT die Aktivitäten der Gruppe und veröffentlicht regelmäßig neue Erkenntnisse in entsprechenden Alerts oder Analysereports zu den TTPs (Tools, Tactics & Procedures) der Gruppe. Die jüngste Veröffentlichung betrifft insgesamt 11 Malware Samples, die durch das National Cybersecurity and Communications Integration Center (NCCIC) des DHS analysiert und unter dem Namen TYPEFRAME zusammengefasst wurden. Es handelt sich hierbei um 32-bit und 64-bit Windows Executables und Word-Dokumente mit schadhaften VBA-Makros. Alle Dateien stellen umfangreiche Trojaner-Funktionen bereit, die es den Angreifern ermöglichen, dauerhaften Zugang zu infiltrierten Netzwerken zu erhalten. Hierzu zählen folgende Kernfunktionen:

  • Download und Installation von Schadsoftware
  • Installation von Proxies
  • Installation von Remote Access Trojans (RAT)
  • Kommunikation mit C&C-Servern (Command & Control) zum Empfang von Instruktionen für weitere Angriffsphasen
  • Modifikation von Firewall-Konfigurationen

Den Angreifern auf der Spur

Um den Schadcode in der eigenen Infrastruktur aufspüren zu können, liefert das NCCIC auch gleich die entsprechenden IoCs (Indicators of Compromise), die benutzt werden können, um der Schadsoftware auf die Spur zu kommen. Der Analyse-Bericht liefert darüberhinaus eine detaillierte Beschreibung der einzelnen Dateien, ihrer Merkmale, sowie ihrer Funktionsweise. Folgende Dateien und IP-Adressen werden TYPEFRAME zugeordnet:

SHA256 Hashes

  • 201c7cd10a2bd50dde0948d14c3c7a0732955c908a3392aee3d08b94470c9d33
  • 20abb95114de946da7595438e9edf0bf39c85ba8512709db7d5532d37d73bd64
  • 3c809a10106990ba93ec0ed3b63ec8558414c6680f6187066b1aacd4d8c58210
  • 40ef57ca2a617f5d24ac624339ba2027b6cf301c28684bf8b2075fc7a2e95116
  • 4bd7d801d7ce3fe9c2928dbc834b296e934473f5bbcc9a1fd18af5ebd43192cd
  • 546dbd370a40c8e46f9b599a414f25000eec5ae6b3e046a035fe6e6cd5d874e1
  • 675a35e04b19aab314bcbc4b1f2610e3dea4a80c277cc5188f1d1391a00dfdb1
  • 8c3e0204f52200325ed36db9b12aba1c5e46984d415514538a5bf10783cacdf8
  • c9e3b83d77ce93cc1d70b22e967f049b13515c88572aa78e0a838103e5478777
  • d1d490866d4a4d29306f0d9300bffc1450c41bb8fd62371d29672bf9f747bf92
  • e69d6c2d3e9c4beebee7f3a4a3892e5fdc601beda7c3ec735f0dfba2b29418a7

IP-Adressen

  • 111.207.78.204
  • 181.119.19.56
  • 184.107.209.2
  • 59.90.93.97
  • 80.91.118.45
  • 81.0.213.173
  • 98.101.211.162

So schützen Sie sich

Um das eigene Unternehmen vor Bedrohungen wie TYPEFRAME zu schützen, empfiehlt es sich, folgende Maßnahmen nachhaltig umzusetzen und ihre Wirksamkeit kontinuierlich zu überwachen:

  • Stellen Sie die Detektionsfähigkeit Ihrer Antivirus-Lösung sicher. Bei signaturbasierten Lösungen sollte mindestens alle vier Stunden ein Update erfolgen. Es ist darauf zu achten, dass unterstützende Features, die die Erkennungsfähigkeit für unbekannte Schadsoftware bis zum Signaturupdate gewährleisten sollen (z.B. Online Lookups, Heuristik) auch wirklich funktionsfähig sind. Oder man wechselt gleich auf eine Lösung, die bei der Erkennung der Schädlinge nicht auf Signaturupdates angewiesen ist.
  • Regelmäßige und zeitnahe Installation aller relevanten Betriebssystempatches sind ein Muss!  Wichtig: Überwachen Sie den Patch Management Prozess durch regelmäßige Schwachstellenscans und haben Sie ein Auge darauf, welche Systeme in Ihrem Netzwerk online gehen (Stichworte: Discovery Scans und Asset Inventory).
  • Deaktivieren Sie File and Printer Sharing Services. Werden sie gebraucht, sind unbedingt starke Passwörter oder zentrale Authentisierung über Active Directory zu verwenden.
  • Vergeben Sie Berechtigungen für die Ausführung und Installation potentiell unerwünschter Software und lokale Administrationsrechte äußerst restriktiv. Nur Benutzer, denen bewusst ist, welche Verantwortung in diesen Rechten liegt, sollten sie auch bekommen.
  • Erzwingen Sie die Verwendung starker Passwörter (hinreichende Komplexität und vor allem Länge) und verwenden Sie Multifaktorauthentisierung (MFA, 2FA) wo immer dies möglich ist.
  • Sensibilisieren Sie Benutzer durch Awareness Trainings. Im Vordergrund sollten hier Schulungsinhalte bzgl. der Verhaltensweise bei Emails von unbekannten Empfängern und dem Öffnen von Email-Anhängen stehen, sowie die Benutzung von mobilen Datenträgern (USB-Sticks, Speicherkarten, Externe HDDs).
  • Deaktivieren Sie alle nicht benötigten Dienste und Protokolle auf allen Systemen. Ja, Hardening ist irgendwie so 90ies, aber leider immer noch unumgänglich, um Angriffsfläche und potentielle Angriffsvektoren zu minimieren.
  • Sichern Sie Ihre Email-Infrastruktur gegen Schadsoftware. Hier sollten vor allem Anhänge mit einer zuverlässigen Lösung gescannt werden, die nicht anfällig für Evasion-Techniken, wie die Änderung des File Headers, ist.
  • Sichern Sie Ihren Internetzugang, um Benutzer vor potentiell gefährlichen Web Sites zu schützen und jegliche ausführbare Dateien auf Schadsoftware zu scannen, bevor diese zur Ausführung gelangen.
  • Implementieren Sie Maßnahmen und technische Sensorik, die die Erkennung von Sicherheitsvorfällen (Incident Detection) ermöglichen, wenn präventive Maßnahmen versagt haben. Hierzu zählen beispielsweise die zentrale Auswertung von Logdateien mittels SIEM, sowie Monitoring und Analyse des Netzwerk- und Benutzerverhaltens.
  • Legen Sie fest wie Sie auf Sicherheitsvorfälle reagieren und dokumentieren Sie diesen sog. Incident Response Prozess. Gegen einen laufenden Angriff ohne Plan und entsprechende Ressourcen ins Feld zu ziehen verschlechtert die Erfolgschancen dramatisch.
  • Implementieren Sie eine zuverlässige Datensicherung und testen Sie diese regelmäßig. Im Fall der Fälle ist ein funktionsfähiges Backup der letzte Rettungsanker, der über Sieg oder Niederlage entscheidet.

Zugegeben, die oben genannten Maßnahmen bieten wenig Überraschungen und sollten ähnlich selbstverständlich sein, wie das Tragen festen Schuhwerks und langer Hosen, wenn man in Gebieten unterwegs ist, in denen man leicht auf Giftschlangen treffen kann. Die Erfahrung lehrt leider, dass sich diese Ansicht noch nicht durchgängig durchgesetzt hat.

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer