Gruppierung APT17 versteckt Malware im TechNet-Forum
FireEye und Microsoft decken Verschleierungstaktik chinesischer Cyberkrimineller auf
 |
FireEye bietet Schutz vor Next-Generation-Cyber-Angriffen in Echtzeit |
München/Brunn am Gebirge (ptp025/27.05.2015/14:00) FireEye, Spezialist für den Schutz von Unternehmen vor bisher unbekannten Cyberangriffen, stellt in einem aktuellen Report "Hiding in Plain Sight: FireEye Exposes Chinese APT Obfuscation Tactic" eine bisher unbekannte Command-and-Control-Angriffstaktik vor. Gemeinsam haben FireEye Threat Intelligence und das Microsoft Threat Intelligence Center das Vorgehen der chinesischen Gruppierung APT17 entdeckt und untersucht. Bei APT17 handelt es sich um Cyberkriminelle, die Advanced Persistent Threats für ihre Angriffe verwenden und auch unter dem Namen Deputy Dog bekannt sind.
Die Command-and-Control-Angriffsmethode wird seit 2013 beobachtet und beinhaltet die Backdoor "BLACKCOFFEE". Ziel der untersuchten Angriffe war unter anderem eine Reihe von IT-Unternehmen, Anwaltskanzleien und US-Regierungsbehörden. FireEye hat beobachtet, dass eine BLACKCOFFEE-Variante Command-and-Control-Aktivitäten der Gruppierung durch Datenverschlüsselung auf dem TechNet-Webportal von Microsoft verschleiert. Bei dem Portal handelt es sich um eine wichtige Online-Ressource für IT-Profis.
Anstatt TechNet selbst anzugreifen, nutzte APT17 die Möglichkeit, Profile im Forum anzulegen und dort Beiträge zu schreiben, die verschlüsselte Command-and-Control-Malware beinhalteten. Diese Vorgehensweise macht es für Netzwerk-Sicherheitsexperten schwierig, die Malware-Quelle zu lokalisieren, und erlaubt der Command-and-Control-Infrastruktur über einen längeren Zeitraum hinweg unentdeckt aktiv zu bleiben.
Durch Einspeisen verschlüsselter Daten auf TechNet-Seiten war das Team von FireEye- und Microsoft-Experten in der Lage, weitere Einblicke in die Funktionsweise der Malware und die Ziele von APT17 zu erhalten. FireEye hat Adaptionen dieser Methoden bereits auch bei anderen Gruppierungen beobachtet und erwartet, dass dieser Trend zunehmen wird. Dennoch hat die Sicherheitsbranche diese Vorgehensweise bisher kaum diskutiert.
"In diesem Report bringen wir eine neue Angriffsmethode bei Advanced Persistent Threats ans Licht, die selbst für geschulte Sicherheitsexperten eine Herausforderung darstellen kann. Cyberkriminelle finden immer neue Wege, um ihre Ziele zu erreichen und Angriffe erfolgreich durchzuführen. Die Erkenntnisse dieses Reports unterstreichen einmal mehr, dass Technologie und Experten den Urhebern von Cyberbedrohungen immer einen Schritt voraus sein müssen", sagt Frank Kölmel, Vice President Central & Eastern Europa bei FireEye.
FireEye und Microsoft haben die Aktivitäten von APT17 bei TechNet, mit denen sie ihre Angriffe unentdeckt durchzuführen versuchten, erfolgreich unterbinden können. Zusammenarbeit und Austausch von Erkenntnissen aus Bedrohungsdaten kann Netzwerk-Sicherheitsexperten in ihrer Arbeit unterstützen und die Entwicklung innovativer Lösungen voranbringen. FireEye Threat Intelligence und das Microsoft Threat Intelligence Center werden ihre Zusammenarbeit weiter fortsetzen, um Nutzer gemeinsam vor Cyberangriffen zu schützen.
Den Report finden Sie hier: https://www2.fireeye.com/WEB-2015RPTAPT17.html
Den vollständigen Blog-Beitrag finden Sie unter: https://www.fireeye.com/blog/threat-research/2015/05/hiding_in_plain_sigh.html
Lösungen von FireEye bei Ihrem Value-Added-Distributor
IT-Fachhändler können die Lösungen von FireEye bei Exclusive Networks Austria beziehen. Der Value-Add Distributor bietet zudem qualifizierten Support durch zertifizierte Techniker, Zertifizierungstrainings und schnelle Lieferung aus dem regionalen Lager.
Über FireEye, Inc.
FireEye hat eine Virtual-Machine-basierte Plattform entwickelt, die Schutz für Unternehmen und Regierungen vor Next-Generation-Cyber-Angriffen in Echtzeit bietet. Diese besonders fortgeschrittenen Angriffe umgehen traditionelle signaturbasierte Abwehrmechanismen, wie Next-Generation-Firewalls, IPS, Antiviruslösungen und Gateways. Die FireEye Threat Prevention Platform bietet dynamischen Schutz ohne Signaturen zu nutzen, um Unternehmen vor primären Angriffsvektoren zu schützen. Sie deckt alle Phasen des Angriffszyklus ab. Das Kernstück der FireEye-Plattform bildet die signaturunabhängige Virtual Execution Engine, die durch dynamische Threat Intelligence ergänzt wird. FireEye hat 3.400 Kunden in mehr als 67 Ländern, darunter 250 der Fortune-500-Unternehmen.
Pressekontakt:
Grayling Deutschland GmbH
Ewa Krzeszowiak
Tel. +49 (0)211 96 485 0
E-Mail: ewa.krzeszowiak@grayling.com
Über die Exclusive Networks Group
Die Exclusive Networks Group verbindet neue und wachsende globale Technologie-Anbieter für internationale Märkte durch ihr Modell des "Super Value Add Distributors". Das Unternehmen ist spezialisiert auf Sicherheits-, Netzwerk-, Infrastruktur- und Storage-Lösungen für das "Smarter Social Enterprise", beschäftigt über 600 Mitarbeiter und beliefert 8.000 Reseller-Partner.
Exclusive Networks agiert als eng integrierte Gruppe von unabhängigen und unternehmerisch geführten Geschäftsbereichen mit nationalem Fokus. Sie ist dafür bekannt, erfolgreich innovative und außergewöhnliche Technologien auf dem internationalen Markt zu platzieren. Seit 2003 verzeichnet das Unternehmen signifikantes Wachstum und ist erfolgreich zusammen mit seinen Partnern: Hersteller, Integratoren, VARs und Service Provider profitieren durch Services hinsichtlich Beratung, Vertrieb, Marketing, Training und technischem Support.
Mit Hauptsitz in Frankreich, ist Exclusive Networks in mehr als 22 Ländern, darunter Großbritannien, Deutschland, Italien, Schweiz, Österreich, den Niederlanden, Belgien, Spanien, Portugal, Schweden, Norwegen, Finnland, Dubai, Türkei, Australien/Neuseeland und im frankophonen Afrika vertreten.
2011 wurde die Exclusive Networks Austria als österreichische Niederlassung der Exclusive Networks Group gegründet. Die Fachhandelspartner werden direkt aus dem lokalen Lager beliefert und von kompetenten Mitarbeitern betreut.
(Ende)| Aussender: | Exclusive Networks Austria GmbH |
| Ansprechpartner: | Michaela Koch |
| Tel.: | +43 1 336 0 337-55 |
| E-Mail: | mkoch@exclusive-networks.com |
| Website: | www.exclusive-networks.at |
