Thought Leadership
Eine großangelegte Malware-Kampagne, bei der auch das Bundeszentralamt für Steuern imitiert wurde, konnten die Cybersecurity-Experten von Proofpoint identifizieren. Die Malware, die dabei zum Einsatz kommt und von den Angreifern selbst „Voldemort“ genannt wird, wurde dabei über Phishing-E-Mails verbreitet.
Damit möglichst viele Empfänger auf diese Nachrichten hereinfallen, gaben sich die Angreifer als Steuerbehörden verschiedener Länder aus – darunter auch das Bundeszentralamt für Steuern (siehe Screenshot).
Proofpoint geht davon aus, dass die Aktivitäten der Täter der Spionage dienen sollten, weil die Malware Funktionen zur Informationsbeschaffung umfasst und weitere Schadprogramme herunterladen kann. Im Rahmen der Kampagne wurden über 20.000 E-Mails an über 70 Organisationen weltweit versendet. Auffällig ist die Kombination aus gängigen und ungewöhnlichen Techniken, darunter die Nutzung von Google Sheets zur Steuerung der Malware (C2) und die Ausnutzung einer Sicherheitslücke im Zusammenhang mit gespeicherten Suchdateien (.search-ms). Die Analyse der in C geschriebenen Malware ergab, dass diese Informationen über infizierte Computer sammelt und sie an die Angreifer sendet.
Besonders auffällig ist die komplexe Angriffskette, die mehrere Schritte umfasst: Zunächst werden die Opfer auf gefälschte Webseiten gelockt, die einen User-Agent-Check durchführen. Anschließend wird über eine .search-ms-Datei eine Windows-Suche manipuliert, um den Schadcode auszuführen. Dieser besteht aus einem Python-Skript, das weitere Informationen über das System sammelt und schließlich die eigentliche Malware, getarnt als legitime Dateien, herunterlädt und ausführt.
Proofpoint fand außerdem heraus, dass die Angreifer die Google-Sheets-Infrastruktur nicht nur zur Steuerung und Kontrolle nutzen, sondern auch für die Exfiltration von Daten und die Ausführung von Befehlen auf den infizierten Rechnern. Durch die Analyse von Google Sheets konnten die Security-Analysten Informationen über die Opfer und die ausgeführten Befehle sammeln. Dabei fanden sie auch Hinweise auf die OpenWRT-Firmware und einen kompromittierten Cobalt Strike Server, die möglicherweise mit anderen Aktivitäten der Angreifer in Verbindung stehen.
Obwohl vieles auf Spionage hindeutet, wies die Kampagne auch Merkmale auf, die eher mit Cyberkriminalität in Verbindung gebracht werden, z. B. das hohe E-Mail-Volumen und die Verwendung von Techniken, die häufig von Cyberkriminellen eingesetzt werden. Proofpoint konnte die Kampagne keiner bekannten Hackergruppe zuordnen. Die Kombination aus ausgefeilten und einfachen Techniken macht es schwierig, die Fähigkeiten der Angreifer und ihre letztendlichen Ziele einzuschätzen.
Die Voldemort-Kampagne ist ein Beispiel für die zunehmende Komplexität und Raffinesse von Cyber-Angriffen. Das Verschwimmen der Grenzen zwischen Spionage und Cyberkriminalität sowie die Kombination bekannter und neuer Techniken verdeutlichen die Herausforderungen, vor denen Unternehmen und Sicherheitsforscher heute stehen.
(lb/Proofpoint)
