APT und gezielte Angriffe
Pawn Storm: Einfachheit als Strategie
2020 setzte die berüchtigte APT-Gruppe Pawn Storm bewusst simple Angriffsmethoden so häufig ein, dass ihre Attacken im allgemeinen Rauschen untergehen konnten.
Originalbeitrag von Feike Hacquebord, Lord Alfred Remorin
Bei der Entdeckung eines einfachen Remote Access-Trojaner (RAT) im Netzwerk, denkt man nicht gleich einen Advanced Persistent Threat (APT)-Akteur als Angreifer. Brute-Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet sind zudem mittlerweile so häufig, dass sie Hintergrundrauschen durchgehen, das man ignorieren kann. 2020 setzte die berüchtigte APT-Gruppe Pawn Storm genau diese nicht sehr komplizierten Angriffsmethoden so häufig ein, dass ihre Attacken im allgemeinen Rauschen untergehen konnten.
2020 verbreitete Pawn Storm einfache Google Drive- und IMAP-RATs, um ihre üblichen Ziele anzugreifen, so etwa Außenministerien, Botschaften, die Verteidigungsindustrie und Militäreinrichtungen. Die RATs wurden auch an ein breite Ziele verschiedener Branchen auf der ganzen Welt geschickt. Die Gruppe führte darüber hinaus ausgedehnte Brute-Force-Angriffe durch, um Anmeldeinformationen zu stehlen, z. B. die von E-Mail-Konten von Unternehmen. Dies belegen die Netzwerkproben, die Trend Micro Pawn Storm zuschreibt, und auch die Art und Weise, in der die Akteure kompromittierte E-Mail-Konten für das Versenden von Spear Phishing-Mails missbrauchten. Pawn Storm hat sogar kompromittierte militärische und regierungsnahe E-Mail-Adressen in seiner IMAP-RAT-Malware fest codiert, um mit den Computern der Opfer zu kommunizieren. Kürzlich erklärten norwegische Behörden, Pawn Storm habe das norwegische Parlament gehackt.
Inkrementelle Verbesserungen bei nachfolgenden Versionen der Malware deuten auf eine Lernkurve des Malware-Autors hin, die eher für einen unerfahrenen Akteur als für einen erfahrenen Täter typisch ist. Anfänglich waren die RATs so einfach, dass sie nicht einmal internationale Tastaturen berücksichtigten. Das bedeutet, dass es für den Angreifer schwierig gewesen sein dürfte, die Festplatten der Opfer mit Dateien und Ordnern zu erfassen, die internationale Zeichen enthalten. Dieser Fehler wurde schnell korrigiert, zeigt aber die relative Unerfahrenheit dieses speziellen Pawn Storm-Betreibers. Spätere Versionen der RAT-Malware begannen Verschlüsselung zu verwenden. Die einzige Neben-Payload, die die Forscher fanden, war ein einfacher Keylogger, der gestohlene Informationen lokal auf den Rechnern der Opfer speichert.
Es wäre schwierig, diese Malware Sample Pawn Storm zuzuschreiben. Und ein typischer Netzwerkadmin hätte den Ursprung dieser Art von Malware bei keinem APT-Akteur vermutet. Dennoch konnten die Sicherheitsforscher aufgrund des Langzeit-Monitorings diese Samples sicher Pawn Storm Aktivitäten zuordnen.
Kürzliche Pawn Storm-Aktivitäten
Kompromittierung von Nutzerkonten im Mittleren Osten
Trend Micro hat die Aktivitäten von Pawn Storm genau und konsequent überwacht und im März 2020 die neuesten Forschungsergebnisse zu der Gruppe veröffentlicht. Das Paper zeigt auf, dass Pawn Storm kompromittierte Konten - vor allem im Mittleren Osten - massiv missbraucht, um Spear Phishing-Mails zu versenden. Anfang Dezember nutzte die Gruppe beispielsweise einen VPN-Dienst, um sich mit einem kompromittierten Cloud-Server zu verbinden, und verwendete dann den Server für die Verbindung mit einem kommerziellen E-Mail-Provider für Unternehmen. Die Gruppe meldete sich dann bei einem kompromittierten E-Mail-Konto einer Hühnerfarm im Oman an und verschickte anschließend Credential Phishing-Spam an hochrangige Ziele auf der ganzen Welt. Dies zeigt, dass Pawn Storm sorgfältig darauf bedacht ist, seine Spuren über mehrere Ebenen hinweg zu verwischen.
Seit August 2020 verwenden sie diese Mail-Adressen nicht nur für das Verschicken von Spear Phishing-Mails sondern auch als Kommunikationsweg mit kompromittierten Systemen in IMAP RATs.
Brute Force-Angriffe
Die Sicherheitsforscher gehen davon aus, dass Pawn Storm viele Mailkonten über Brute Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet kompromittiert. So scannte Pawn Storm im Mai 2020 weltweit IP-Adressen, darunter auch solche aus der Verteidigungsindustrie in Europa, auf den TCP-Ports 445 und 1433, wahrscheinlich um angreifbare SMB- und SQL-Server zu finden oder Anmeldeinformationen mit Brute-Force zu sammeln. Im August 2020 schickte Pawn Storm außerdem UDP-Tests an LDAP-Server auf der ganzen Welt von einer ihrer dedizierten IP-Adressen.
Pawn Storm versucht häufig, diese Brute-Force-Versuche zu verschleiern, indem sie den Angriffsverkehr über Tor- und VPN-Server leiten. Dies reicht jedoch nicht immer aus, um die Aktivitäten zu verbergen. In einem Microsoft-Artikel über das Brute-Forcing von Office365-Anmeldeinformationen über Tor schrieb Microsoft die Aktivitäten Strontium zu, ein anderer Name für Pawn Storm. Trend Micro schrieb Anfang 2020 über ähnliche Angriffe, die 2019 begannen und eindeutig Pawn Storm zuzuordnen waren, weil die Sicherheitsforscher das umfangreiche Sondieren von Microsoft Autodiscover-Servern auf der ganzen Welt mit hochgradig zuverlässigen Indikatoren für die traditionelleren Angriffsmethoden der Gruppe (Spear-Phishing und Credential-Phishing) in Beziehung setzen konnten.
An technischen Einzelheiten Interessierte finden im Originalbeitrag die Analyse anhand eines Beispielfalls.
Trend Micro-Lösungen
Für das extensive Monitoring empfiehlt sich Trend MicroTMXDR, auch weil die Überwachung über alle vernetzten Ebenen von E-Mail, Endpoints, Cloud Workload und Netzwerke hinweg durchgeführt wird. Die Lösung wird von fortschrittlicher KI und Sicherheitsanalysen für die Datenkorrelation unterstützt. Somit ermöglicht XDR die Entdeckung und Reaktion auf einen Angriff bereits zu einem frühen Zeitpunkt.
Mit Trend Micro Managed XDR erhalten Kunden einen 24/7-Service, der die Fähigkeiten erfahrener Managed Detection and Response-Analysten für die fachkundige Überwachung, Korrelation und Analyse von Bedrohungen nutzt.
Indicators of Compromise sowie die relevanten IP-Adressen listet ebenfalls der Originalbeitrag auf.