Ende 2014 haben wir eine speziell auf russische Unternehmen abzielende Angriffswelle entdeckt und beobachten können, die bereits seit über einem Jahr aktiv war. Die Malware, die hier zum Einsatz kam, ist ein bunter Mix von „handelsüblichen“ Tools, NSIS-gepackter Malware und Spyware, die zielgerichtet Punto (eine spezielle Software von Yandex) nutzt, die abhängig davon, was der Anwender gerade schreibt, speziell bei russischen Nutzern still und automatisch die Sprache der Tastatur ändern kann. Haben die Cyberkriminellen erst einmal einen Computer in ihrer Gewalt, nutzen sie weitere Tools, um dessen Inhalt zu analysieren, eine Backdoor zu installieren und letztendlich noch ein Schadmodul auszurollen, das das System ständig ausspioniert und eventuell verwendete Smartcards ausliest.
Die Kampagne zielt auf eine breite Palette an russischen Banken ab, nutzt mehrere verschiedene Code-Signing-Zertifikate und verwendet einige, schwer greifbare Methoden, um einer möglichen Erkennung zu entgehen. Ziemlich deutlich können wir davon ausgehen, dass diese Aktion rein finanziell motiviert ist und speziell die Buchhaltungsabteilungen russischer Unternehmen angreift. Daher ist Operation Buhtrap auch ein Mix zweier Worte: „Buhgalter“ (das russische Wort für Buchhalter ist eines der vielen deutschen Lehnworte im Russischen) und „Trap“ (englisch für „Falle“).
Diese Angriffswelle ist außerdem für uns so interessant, da sie viele Techniken verwendet, die wir sonst nur von zielgerichteten Attacken kennen und bisher noch nicht von rein finanziell motivierten Kriminellen. Obwohl wir glauben, dass dies eine andere Kampagne ist, teilt sie doch ein paar Gemeinsamkeiten mit Anunak/Carbanak, was die verwendeten Techniken, Taktiken und Prozeduren angeht.
Kurzzusammenfassung:
Wir stellen uns das Vorgehen der Kriminellen wie folgt vor: als erstes wird ein einzelner Computer eines Netzwerkes angegriffen, indem man Spam versendet und den Empfänger dazu bringt, den Dateianhang zu öffnen.
Ist die Malware dann auf dem Rechner installiert, haben die Angreifer Zugriff auf verschiedenste Hilfsmittel, die ihnen ermöglichen, weitere Computer des Unternehmens zu infizieren und andererseits den Nutzer auszuspionieren, um zu sehen, ob nicht hier schon Banktranstransfers manipuliert werden können.
Auch wenn die hier zum Einsatz kommenden Tools und Softwares weit davon entfernt sind, etwas überraschend Neues darzustellen, so ist die Gesamtkampagne doch ziemlich interessant und auch faszinierend, da sie sich von der „traditionellen“ Banking-Malware unterscheidet.
So werden hier spezielle Tools verwendet, die wir sonst nur von zielgerichteten Angriffen kennen und auch wenn wir davon ausgehen, dass es sich hierbei um eine andere Aktion als Anunak/Carbanak handelt, so wird hier ein ähnlicher Angriffsvektor verwendet, eine ähnlich modifizierte Mimikatz Anwendung kommt zum Einsatz, sowie ein Drittanbieter-RAT (Remote Access Tool), das die Systemeinstellungen so verändert, dass mehrere RDP Sitzungen gleichzeitig zugelassen werden und vieles mehr.
Eine ausführliche Beschreibung der Operation Buhtrap finden Sie in englischer Sprache hier. Die Kollegen Jean-Ian Boutin, Anton Cherepanov und Joan Calvet haben dort einige Informationen zusammengetragen, die auch für uns Nutzer außerhalb Russlands durchaus interessant sein können.