Einem Experten-Team der Bitdefender-Labs ist es kürzlich gelungen, einen Angriff auf eine osteuropäische Bank zeitlich zu rekonstruieren. Der im Mai 2018 ausgeführte Angriff wird der Carbanak-Bande zugeschrieben und zeigt deutlich die zunehmende Relevanz von Endpoint-Security-Maßnahmen.
Obwohl die Infiltrierung des Netzwerks schon nach 1,5 Stunden abgeschlossen war, bewegten sich die Angreifer mit Hilfe der Cobalt Strike Malware weitere 63 Tage durch die gesamte Infrastruktur des Systems, um es so auszuspähen und weitere Informationen für einen finalen Angriff sammeln. Eine erfolgreiche Attacke hätte den Kriminellen unbemerkten Zugriff auf das Geldautomatennetzwerk verschafft.
Die Täter
Die Infiltration erfolgte mit einer Spear-Phishing-Kampagne mit der URL swift-fraud[.]com/documents/94563784.doc. Der zusätzliche Einsatz der Cobalt Strike Malware deuten auf die Carbanak-Gruppe hin. Die Carbanak-Bande zählt leider viele Erfolge bei Angriffen auf Finanzinstitutionen. Ihre Strategie ist meist, illegale Transaktionen durchzuführen oder Geldautomateninfrastrukturen zu übernehmen, die mit Hilfe von „Money Mules“ geplündert werden.
Einge Spear-Phishing-Kampagnen zwischen März und Mai 2018 stattfanden und Carbanak zugeschrieben werden, wurden nun von Sicherheitsforschern analysiert. Die Kampagnen tarnten sich als E-Mails von hochkarätigen Organisationen wie IBM, der Europäischen Zentralbank oder auch als Cybersicherheitsunternehmen. Durch die Auswertung von Threat Intelligence Feeds und Logfileanalysen, ist es Experten von Bitdefender nun gelungen, den zeitlichen Ablauf des im Mai 2018 stattgefundenen Angriffs, detailliert rekonstruieren zu können.
Das Angriffsprotokoll
Tag 0: Infiltration
An einem regulären Arbeitstag um 16:48 Uhr erhalten zwei Mitarbeiter einer Bank eine E-Mail, dessen schadhaften Anhang beide unabhängig voneinander binnen einer Minute öffnen. Das angehängte Dokument nutzt die Remote Code Execution Exploits CVE-2017-8570, CVE-2017-11882 und CVE-2018-0802 von Microsoft Word. Darüber wird unbemerkt eine Verbindung zu einem C&C-Server über eine Backdoor hergestellt: Die Datei smrs.exe (d68351f754a508a386c06946c8e79088) initiiert einen Shell-Befehl, der wiederum den Cobalt Strike Beacon herunterlädt.
Im Anschluss daran werden Zugangsdaten zum Domain-Server entwendet, getestet und schließlich der Domain-Controller übernommen. Mit Ende dieser ersten Angriffswelle um 18:20 Uhr sind die Angreifer bereits in der Lage, weitere Nutzerdaten herunterzuladen und auszuführen, sich unbemerkt durch das System zu bewegen, Dateien zu löschen und Registrierungsschlüssel zu beseitigen, um ihre Spuren zu verwischen.
Tag 1-28: Ausspähung
In den fünf darauffolgenden Wochen konzentrieren die Angreifer ihre Aktivitäten darauf, systematisch zahlreiche Arbeitsplätze zu kompromittieren, um an Informationen zu gelangen, die von Nutzen sein könnten. An Tag 10 erfasst der Angriff den dreizehnten Endpunkt, welcher im späteren Verlauf für die Informationssammlung und -speicherung genutzt wird. An Tag 28 wird eine Reihe von als potenziell wertvoll erachteten Dokumenten zu internen Anwendungen und Verfahren für die Exfiltration vorbereitet.
Tag 30-63: Informationssammlung und Vorbereitung des Diebstahls
Im weiteren Verlauf wird die Informationssammlung systematisiert. In einem Zeitraum von 17 Tagen legen die Angreifer verschiedene Ordner mit Handbüchern, Anleitungen und Schulungsunterlagen für verschiedene Anwendungen an. Dabei ist davon auszugehen, dass diese Informationen nicht nur dazu dienen, den finalen Diebstahl ausführen zu können, sondern auch dazu verwendet werden, Angriffstaktikten für künftige Ziele mit vergleichbaren Systemen zu verfeinern.
Ab Tag 33:
Die Angreifer beginnen damit, interne Hosts und Server zu kompromittieren, die für den eigentlichen Raubüberfall benötigt werden. Der Cobalt Strike Beacon erzeugt einen VPN-Tunnel zu einem externen Arbeitsplatz der Hacker, von dem aus ausgewählte Workstations der legitimen Bankeninfrastruktur angemeldet werden. Diese C&C-Verbindungen dauerten zwischen 20 Minuten und einer Stunde und wurden stets außerhalb der Geschäftszeiten und an Wochenenden durchgeführt.
Tag 63:
Die Angreifer verwischen schließlich ihre Spuren, indem sie sämtliche Beweise für ihre Informationssammlung vernichten.
Was wurde verhindert?
Wäre der Angriff nicht entdeckt worden, hätten die Hacker die Kontrolle über das Geldautomatennetzwerk der Bank erlangt und wären so in der Lage gewesen, das Auszahlungslimit an Geldautomaten zurückzusetzen. So hätten die vor Ort abgestellten Money Mules beliebig oft den festgesetzten Höchstbetrag abheben können, ohne dass die Transaktionen, verdächtig an die Bank gemeldet würden.
Infiltrationen per Spear-Phishing-Kampagnen sind leider nicht ungewöhnlich, da es solchen E-Mails meistens gelingt, Sicherheitsmaßnahmen auf Serverebene zu umgehen. Unternehmen können das Risiko einer Infiltration durch den Einsatz von Endpoint-Security-Lösungen minimieren, wenn sie über URL-Filter, verhaltensbasierte Analysen und Sandboxing verfügen.
Hier findet ihr sowohl Quelle als auch den Untersuchungsbericht als Download, welcher die zeitliche Abfolge und die einzelnen Schritte der Attacke zusammenfasst. https://labs.bitdefender.com/2019/06/an-apt-blueprint-gaining-new-visibility-into-financial-threats/
Euer Klenner.at-Team
