Erste Hilfe bei Viren, Würmern und Trojanern » Analyse der Angreifer

Wie konnten sich die Opfer mit der Schad-Software infizieren?


Die Infektion mit der Schad-Software erfolgte über maßgeschneiderte sogenannte Dropper-Trojaner,
welche die Angreifer an ihre Opfer in Form von zielgerichteten Spear-Phishing-E-Mails verschickten.
Die gefährlichen E-Mails enthielten speziell erstellte Exploits,
um Schwachstellen im Sicherheitssystem von Microsoft Office und Microsoft Excel auszunutzen.
Auf diese Weite konnten die Angreifer ihre Schad-Software installieren und die Systeme damit infizieren.

Die verwendeten Exploits wurden dabei ursprünglich von
anderen Angreifern erstellt und bereits im Rahmen weiterer Cyberattacken genutzt.
Aktivisten in Tibet waren davon ebenso betroffen wie militärische Ziele und der Energiesektor in Asien.
Bei den von Rocra genutzten Dokumenten wurde einzig die eingebettete,
ausführbare Datei durch eigenen Code ersetzt. Interessant ist dabei,
dass der Dropper während seiner Ausführung die verwendete System-Codepage kurzfristig auf '1251' setzt,
womit während einer Programmausführung die Anzeige kyrillischer Schriftzeichen ermöglicht wird.

Analyse der Angreifer

Die Registrierungs-Daten der C&C-Server,
vor allem aber zahlreiche Spuren in den ausführbaren Dateien der Malware deuten darauf hin,
dass die Angreifer eine russisch-sprachige Herkunft haben.
Zudem waren die ausführbaren Dateien bis zur Entdeckung der Operation
unbekannt und wurden von den Experten von Kaspersky Lab
nicht bei der Analyse vorheriger Cyperspionage-Angriffe gefunden.

Rocra wird von den Kaspersky-Lab-Produkten erfolgreich entdeckt,
blockiert und beseitigt sowie als Backdoor.Win32.Sputnik klassifiziert.

Quelle: Kaspersky, www.securelist.com


Grüße
sunny78