Europäischer Energiesektorverband Ende 2019 Ziel der PupyRAT-Malware

Klicken Sie hier um die komplette Analyse als PDF herunterzuladen

Dieser Bericht basiert auf einer proprietären Recorded Future-Netzwerkverkehrsanalyse von RAT-Controllern, die mithilfe von Signaturen erkannt wurden, die von Forschern der Insikt Group entwickelt wurden. Der Analysezeitraum erstreckt sich vom 28. November 2019 bis zum 5. Januar 2020.

Dieser Bericht ist in erster Linie für SOC-Analysten und Bedrohungsaufklärungsexperten in Unternehmen im Energiesektor von Interesse, die bei der Suche nach Schadsoftware im Zusammenhang mit iranischen Bedrohungsakteuren tätig sind.

Im Laufe des letzten Jahres haben Untersuchungen von Recorded Future ergeben, dass mit dem Iran in Verbindung stehende Gruppen, darunter möglicherweise auch APT33 (auch Elfin genannt), im Jahr 2019 in großem Umfang operative Netzwerkinfrastruktur aufgebaut haben. Darüber hinaus gab Microsoft im November 2019 bekannt, dass APT33 seinen Fokus von IT-Netzwerken auf physische Steuerungssysteme verlagert habe, die in Elektrizitätswerken, der Fertigung und Ölraffinerien verwendet werden. Wir haben außerdem dokumentiert, dass staatlich geförderte, mit dem Iran verbundene Gruppen in großem Umfang frei erhältliche Standard-Malware für aktive Netzwerkangriffe einsetzen . Diese Tools sind normalerweise für defensive Red-Teaming-Übungen vorgesehen. Ein solches Tool, das von mehreren Iran-Nexus-Gruppen verwendet wird, ist PupyRAT.

Mithilfe der Remote-Access-Trojaner-Controller (RAT) von Recorded Future und Techniken zur Netzwerkverkehrsanalyse konnte die Insikt Group einen PupyRAT-Command-and-Control-Server (C2) identifizieren, der von Ende November 2019 bis mindestens 5. Januar 2020 mit einem Mailserver einer europäischen Organisation im Energiesektor kommunizierte. Obwohl Metadaten allein keinen Angriff bestätigen, gehen wir davon aus, dass das hohe Volumen und die wiederholte Kommunikation vom anvisierten Mailserver zu einem PupyRAT C2 ausreichen, um auf einen wahrscheinlichen Einbruch hinzuweisen.

PupyRAT ist ein Open-Source-RAT, das auf Github verfügbar ist . Laut dem Entwickler handelt es sich dabei um ein „plattformübergreifendes, multifunktionales RAT- und Post-Exploitation-Tool, das hauptsächlich in Python geschrieben ist.“ Es wurde zuvor von den iranischen Gruppen APT33 (Elfin, Magic Hound, HOLMIUM) und COBALT GYPSY (die sich mit APT34/OilRig überschneidet) verwendet.

Obwohl bekannt ist, dass dieser Standard-RAT, PupyRAT, von den iranischen Bedrohungsakteurgruppen APT33 und COBALT GYPSY verwendet wurde, können wir nicht bestätigen, ob der von uns identifizierte PupyRAT-Controller von einer der beiden iranischen Gruppen verwendet wird. Wer auch immer der Angreifer ist, der Angriff auf den Mailserver einer wichtigen kritischen Infrastrukturorganisation könnte einem Angreifer Zugriff auf vertrauliche Informationen zur Energieverteilung und -versorgung in Europa verschaffen.

Dass eine Schlüsselorganisation des europäischen Energiesektors ins Visier genommen wurde, ist angesichts ihrer Rolle bei der Koordinierung der europäischen Energieressourcen von besonderem Interesse. Iranische (und andere) Gruppen haben es auf eine Vielzahl von Branchen in den USA und Europa abgesehen. Jüngste Berichte deuten darauf hin, dass es dabei zunehmend um Steuerungssoftware für die Industrie im Energiesektor geht.

Wir betonen, dass diese Aktivität schon vor der jüngsten Eskalation der kinetischen Aktivitäten zwischen den USA und dem Iran stattfand und daher wahrscheinlich mit spionagemotivierten Eindringversuchen oder der Vorabpositionierung eines Netzwerkzugangs innerhalb eines hochwertigen Netzwerks im europäischen Energiesektor zusammenhängt.

Zur Abwehr herkömmlicher RATs wie PupyRAT und anderer empfiehlt Recorded Future Unternehmen:

• Überwachen Sie aufeinanderfolgende Anmeldeversuche von derselben IP über verschiedene Konten. Diese Art von Aktivität ist schwieriger zu erkennen als herkömmliche Brute-Force-Angriffe, hilft Unternehmen jedoch dabei, sich vor einer beliebten Taktik von Cyber-Betreibern zu schützen.
• Führen Sie eine Multi-Faktor-Authentifizierung ein. Dies hat sich für viele Organisationen, die in der Vergangenheit ein hohes Maß an Credential-Stuffing- und Password-Spraying-Angriffen erlebt haben, als äußerst effektive Risikominderungsmethode erwiesen.
• Verwenden Sie einen Passwort-Manager und legen Sie für jedes Online-Konto ein individuelles, sicheres Passwort fest.
• Analysieren und vergleichen Sie die Protokolldaten. Auf diese Weise lassen sich möglicherweise Vorfälle erkennen, die häufige Aussperrungen, nicht genehmigte Fernzugriffsversuche, zeitliche Überschneidungen von Angriffen über mehrere Benutzerkonten hinweg und die Erfassung eindeutiger Informationen des Webbrowser-Agenten durch Fingerabdrücke betreffen.