Die Wiederverwendung dieser MNKit-Variante und mehrere weitere Indizien zeigen eine Verbindung zwischen den verschiedenen Malware-Varianten, die an die Ziele ausgeliefert wurden. Die weiteren Parallelen sind: Absender-E-Mail-Adressen, E-Mail-Betreffzeilen, Namen der Anhänge, Command- & Control-Domains, XOR-Schlüssel und die gezielte Adressierung von Empfängern.
MNKit ist der Name für ein Builder-Programm, das Dokumente zur Ausnutzung der Schwachstelle CVE-2012-0158 generiert. Die Dokumente werden im MHTML-Format erstellt und installieren gefährlichen Code auf dem kompromittierten Rechner. Palo Alto Networks ist der Ansicht, dass MNKit privat zwischen mehreren Angriffsgruppen geteilt wird, aber nicht allgemein verfügbar ist. Unit 42 hat bereits mehrmals über MNKit-Aktivitäten berichtet, in Zusammenhang mit Spear-Phishing und E-Spionage.
Die Schädlinge LURKO, Saker und NetTraveler
LURK0 ist eine Familie von Remote-Access-Trojanern (RAT), abgeleitet vom Gh0st RAT. Verschiedene Angreifer nutzen LURK0 bereits seit Jahren. In einigen MNKit-Exploit-Dokumenten waren bösartige SFX-PE-Dateien enthalten, die LURK0-Implantate ausliefern.
Saker, oft auch als „Xbox“ und „Mongall“ bezeichnet, ist eine Malware-Familie, die auf gezielte Angriffe spezialisierte Gruppen nutzen, welche unter anderem auch NetTraveler und Gh0stRAT einsetzen. Zwei der Absenderadressen, die LURK0-Samples verbreiteten wurden auch genutzt, um andere Arten von Malware zu verbreiten. Durch die Beobachtung von Überschneidungen in den Absender- und Empfängeradressen sowie Dateinamen von Anhängen konnte Unit 42 weitere MNKit-Dokumente identifizieren, die auch selbstextrahierende, XOR-verschlüsselte PE-Dateien enthielten.
NetTraveler ist eine Backdoor, die verwendet wird, um andere Malware zu installieren, Daten zu stehlen, und die Fernsteuerung eines kompromittierten Systems zu ermöglichen. Drei weitere MNKit-Dokumente wurden als MNKit-Exploit-Anhänge identifiziert. Drei Samples enthielten auch SFX PE-Dateien mit der gleichen XOR-Verschlüsselung.
Fazit:
Im Zusammenhang mit MNKit war die Wiederverwendung von Domain-Namen, IPv4-Adressen, Phishing-Themen, XOR-Systemen und E-Mail-Konten durch verschiedene Gruppen auffällig. Dies lieferte deutliche Beweise für die Verknüpfung zwischen diesen neuen und den zuvor dokumentierten MNKit-Angriffen. Zwischen Februar 2016 und Juni 2016 wurden die PE-SFX-Inhalte leicht verändert, aber die Auslieferungsmethoden beibehalten. Die Angreifer, die dahinterstecken, sind seit Jahren aktiv und werden wahrscheinlich auch weiterhin aktiv sein. Sie scheinen eine bestimmte Taktik zu bevorzugen und ändern diese immer wieder nur geringfügig.
Schutzmaßnahmen
Die beste Verteidigungsmaßnahme gegen MNKit-Exploits besteht darin, zu gewährleisten, dass die eigenen Systeme für CVE-2012-0158 gepatcht sind. In Fällen, in denen dies nicht möglich ist, empfiehlt Palo Alto Networks den Einsatz von Technologie zur Verhinderung von Exploits.
Über Palo Alto Networks
Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet. Weitere Informationen finden Sie unter www.paloaltonetworks.com.
