Moskau/lngolstadt, 3. September 2013 - Kaspersky Lab meldet einen neuen Angriffsvektor von NetTraveler (auch als „Travnet", „Netfile" oder Red Star APT bekannt) über Spear-Phishing-E-Mails und Watering-hole-Attacken [1]. Bei NetTraveler handelt es sich um eine APT-Attacke (Advanced Persistent Threat) [2], die bereits hunderte hochrangige Opfer aus 40 Länder infiziert hat [3]. Die Cyberspionagekampagne zielt auf tibetische/uigurische Aktivisten, die Ölindustrie, Forschungseinrichtungen, Universitäten, private Unternehmen, Regierungen und Regierungsinstitutionen, Botschaften und die Rüstungsindustrie ab. (...)

Kurz nach der Veröffentlichung der ersten NetTraveler-Analyse von Kaspersky Lab im Juni 2013 [4] haben die Angreifer alle bekannten Command-and-Control-Server (C&C) geschlossen und zogen auf neue Server in China, Hong Kong und Taiwan um. Sie haben weiterhin ungehindert ihre Ziele attackiert, wie der aktuelle Fall zeigt.

So wurden in den vergangenen Tagen mehrere Spear-Phishing-E-Mails [5] an zahlreiche uigurische Aktivisten versendet. Das dabei genutzte Java-Exploit, mit dem die neue Variante der Red-Star- APT-Attacke verbreitet wurde, ist erst kürzlich im Juni 2013 gepatcht worden und hatte dabei eine höhere Erfolgsquote. Die früheren Attacken nutzten Office-Exploits (CVE-2012-0158) und wurden von Microsoft im April dieses Jahres gepatcht.

Neben dem Einsatz von Spear-Phishing-E-Mails haben die APT-Hintermänner die so genannte Watering-hole-Technik [6] eingesetzt, um Opfer beim Web-Surfen zu infizieren - über Web-Umleitungen und Drive-by-Downloads auf manipulierte Domains. In den vergangenen Monaten konnte Kaspersky Lab einige Infizierungsversuche von der Domain „webstock[dot]org" abfangen und blockieren. Die Domain wurde schon bei früheren NetTraveler-Attacken verwendet. Diese Umleitungen scheinen von anderen Seiten mit uigurischem Bezug zu kommen, die von den NetTraveler-Angreifern kompromittiert und infiziert wurden.

Das Virenanalysten-Team von Kaspersky Lab (Global Research und Analysis

Team) geht davon aus, dass weitere aktuelle Exploits bei den Attacken integriert werden können und empfiehlt die folgenden Schutzmaßnamen:

• Java mit der aktuellsten Version aktualisieren. Wenn Java nicht genutzt wird, das Programm deinstallieren.
• Microsoft Windows und Office mit dem neuesten Update aktualisieren.
• Alle anderen Drittanbietern-Programme wie Adobe Reader aktualisieren.
• Einen sicheren Browser wie Goolge Chrome nutzen, der einen schnelleren

Entwicklungs- und Patch-Zyklus wie der Internet Explorer von Windows bietet.

• Vorsicht beim Anklicken von Links sowie beim Öffnen von Anhängen von unbekannten Personen walten lassen.

„Derzeit haben wir noch nicht den Einsatz von Zero-Day-Schwachstellen bei der NetTraveler-Gruppe beobachten können. Um sich vor solchen schwerwiegenden Sicherheitslücken zu wappnen, reichen Updates alleine nicht mehr aus. Nur zusätzliche Technologien wie Automatischer Exploit-Schutz und DefaultDeny können sehr effektiv im Kampf gegen APT-Attacken sein", erklärt Costin Raiu, Director des Global Resarch and Analysing Teams bei Kaspersky Lab.

Weitere Details zu den NetTraveler-Attacken gibt es unter:

http://www.securelist.com/en/blog/208214039/NetTraveler_Is_Back_The_Red_Star_APT_Returns_With_New_Tricks

[1]

http://www.securelist.com/en/blog/208214039/NetTraveler_Is_Back_The_Red_Star_APT_Returns_With_New_Tricks

[2] http://de.wikipedia.org/wiki/Advanced_Persistent_Threat

[3]

http://newsroom.kaspersky.eu/de/texte/detail/article/kaspersky-lab-enthuellt-operation-nettraveler-cyberspionage-kampagne-gegen-regierungsnahe-org

[4] https://www.securelist.com/en/blog/8105

[5] http://de.wikipedia.org/wiki/Spear_Phishing

[6] http://en.wikipedia.org/wiki/Watering_Hole

Quelle