Palo Alto Networks: OilRig erweitert sein Inventar um einen neuartigen C2-Kanal durch Steganographie

28. Juli 2020 - Bei der Analyse eines Angriffs auf eine Telekommunikationsorganisation im Nahen Osten haben wir eine Variante eines OilRig-assoziierten Tools entdeckt, das wir RDAT nennen. Dabei wurde ein neuartiger E-Mail-basierter Befehls- und Kontrollkanal (C2) verwendet, der auf einer als Steganographie bekannten Technik zum Verbergen von Befehlen und Daten in Bitmap-Bildern beruht, welche an E-Mails als Beilage angehängt werden.

 

OilRig Targets Telecommunications Organization and Adds Novel C2 Channel with Steganography to Its Inventory

 

Im Mai 2020 veröffentlichte Symantec eine Studie über die Greenbug-Gruppe wegen Angriffen auf Telekommunikationsorganisationen in Südostasien, die erst im April 2020 durchgeführt wurden. Wir von Palo Alto Networks beobachteten ähnliche Taktiken und Instrumente im Zusammenhang mit Angriffen auf eine Telekommunikationsorganisation im Nahen Osten im April 2020, insbesondere unter Verwendung von benutzerdefinierten Mimikatz-Tools, Bitvise, PowerShell-Downloader und eine benutzerdefinierte Hintertür, die wir als RDAT verfolgen. Unit 42 hat die Greenbug-Gruppe zuvor mit OilRig in Verbindung gebracht. OilRig ist eine Bedrohungsakteur, welchen wir 2015 entdeckt haben. Wir hatten das RDAT-Tool bereits 2017 in OilRigs Betrieb gesehen, aber später ein verwandtes Beispiel gefunden, das 2018 erstellt wurde und einen anderen Befehls- und Kontrollkanal verwendete. Bei der Analyse dieser Probe haben wir einen neuartigen E-Mail-basierten C2-Kanal gefunden, der in Kombination mit der Steganographie zur Exfiltration von Daten verwendet wird.

RDAT wird seit 2017 aktiv entwickelt, was zu mehreren Variationen des Tools führte und bei der C2-Kommunikation sowohl auf HTTP- als auch auf DNS-Tunneling basiert. Im Juni 2018 fügte der Entwickler von RDAT die Möglichkeit hinzu, Exchange Web Services (EWS) zum Senden und Empfangen von E-Mails für die C2-Kommunikation zu verwenden. Dieser E-Mail-basierte C2-Kanal ist in seinem Design neu, da er auf Steganografie beruht, um Befehle auszublenden und Daten in BMP-Bildern, die an die E-Mails angehängt sind, zu integrieren und zu verstecken. Die Kombination der Verwendung von E-Mails mit steganografischen Bildern, um die Daten über den C2-Kanal zu übertragen, führt dazu, dass dessen Aktivität viel schwieriger zu erkennen ist und dabei höhere Chancen auf eine Verbreitung und Infiltration bietet.

Kunden von Palo Alto Networks sind durch WildFire und Cortex XDR geschützt, die alle RDAT-Beispiele als bösartig identifizieren, sowie durch DNS-Sicherheit und URL-Filterung, die die C2-Aktivität identifizieren und blockieren.


Fazit

Die RDAT-Hintertür wird von der OilRig-Bedrohungsgruppe seit mindestens drei Jahren für Zielorganisationen verwendet. Die jüngste bekannte Aktivität fand im April 2020 gegen eine Telekommunikationsorganisation statt. Im Laufe von drei Jahren wurde dieses Tool kontinuierlich weiterentwickelt, was zu mehreren Variationen mit unterschiedlichen Funktionen und verfügbaren C2-Kanälen führte. Die meisten Beispiele verwendeten eine Kombination von HTTP- und DNS-Tunnelkanälen, mit der einzigen Ausnahme, dass der Entwickler Exchange Web Services nutzte, um E-Mails mit steganografischen Bilddateianhängen an und von dem Akteur zu senden und zu empfangen. Die Verwendung eines neuartigen C2-Kanals in Kombination mit der Steganographie zeigt die kontinuierliche Entwicklung und Erweiterung verschiedener Taktiken und Techniken durch diesen Gegner im Laufe der Zeit.

Weitere Informationen:
Lesen Sie den ganzen Artikel hier. (Quelle: Palo Alto Networks, Robert Falcone)

Selbstverständlich stehen wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner in der Schweiz, gerne bei Fragen oder bei benötigter Hilfe in Ihrem Unternehmen zur Seite.

 

Übrigens: Brennpunkt Endpunkt - Cortex XDR Webinar am 15. Oktober 2020

Unsere Spezialisten zeigen Ihnen während unserem 60-minütigen Webinar, wie der Ansatz von Cortex XDR funktioniert und wie Sie dadurch besser auf Angriffe reagieren können. In einer Live-Demo erfahren Sie zudem, wie Cyberangriffe frühzeitig erkannt und eingedämmt werden können. Ausserdem findet während des Live-Webinars via Chatfunktion ein Q&A statt.

Jetzt für das kostenlose Webinar "Brennpunkt Endpunkt" am 15. Oktober 2020 um 10.30 Uhr anmelden!