Operation PowerShell Olympics
Forscher von McAfee haben eine Phishing- und Malware-Kampagne aufgedeckt, die sich gegen Organisationen richtet, die Infrastruktur und andere Dienste für die Olympischen und Paralympischen Winterspiele in Südkorea bereitstellen, wie zdnet.de dazu berichtete.
Es ist eine neue, bisher nicht bekannte Form von Schadsoftware, die dabei zum Einsatz gebracht wird. Die Operation wird PowerShell Olympics genannt. Laut den Sicherheitsforschern von McAfee werden dabei mittels E-Mails, die vorgeben, von der südkoreanischen Behörde zur Terrorismusabwehr zu stammen, inklusive gefälschtem Logo und Absenderadresse, punktgenaue Angriffe ausgeführt. Wie immer ist ein Word-Dokument, das angeblich Details über die Opfer verspricht, angefügt. Der Dateiname der Word-Datei verweist wiederum auf das koreanische Landwirtschaftsministerium und die Olympischen Winterspiele.
Angriffe per Foto
Wie es weiter dazu heißt enthält das Word-Dokument ein Makro, das mithilfe eines PowerShell-Skripts die eigentliche Schadsoftware installiert. Das PowerShell-Skript ist dabei in einem Foto verborgen. Das verwendete Open-Source-Steganografie-Tool soll erst am 20. Dezember veröffentlicht worden sein. Das bedeutet, dass es in der Lage ist, das Bild mittels eines dateilosen Angriffs einzuschleusen.
Dazu sagt Ryan Sherstobitoff, Senior Analyst bei McAfee:
„Das Implantat baut aus dem Speicher heraus eine versteckte verschlüsselte Verbindung zum Server der Angreifer auf, wodurch es dateilos ist“
„Das schließt nicht die Möglichkeit aus, zusätzliche Malware über diese Verbindung zu installieren, um spezifische Informationen zu sammeln.“
Hintermänner unbekannt
Wie verlautet wurden bei den Analysen der Forscher eine Log-Datei eines Apache-Servers sowie eine südkoreanische IP-Adresse gefunden. Die wiederum zu einem Anbieter anonymer Domains in Costa Rica führte. Darunter war auch eine Domain mit Verbindung zum südkoreanischen Landwirtschaftsministerium, das zur Tarnung des Angriffs benutzt wird.
Wie weit die Attacken verbreitet sind ist noch unklar. Die Forscher gehen jedoch davon aus, dass mehrere südkoreanische Organisationen aus dem Umfeld der Olympischen Winterspiele betroffen sind. Die Hintermänner konnten sie indes noch nicht identifizieren. Sie sollen jedoch fließend Koreanisch sprechen und Interesse an Informationen über die Organisatoren der Olympischen Winterspiele in Südkorea haben.
Weiterführende Links:
zdnet.de: Hacker nehmen Veranstalter der Olympischen Winterspiele ins Visier