Vor mehr als einem Jahr, am 26. Juli 2016, stieß das Bitdefender Threat Intelligence Team auf ein verdächtiges Dokument namens News.doc. Im Gegensatz zu den meisten potenziell bösartigen Dokumenten, die in ihren Labors verarbeitet werden, zeigte diese Datei jedoch Ähnlichkeiten mit einer Reihe von Dateien, die bekanntermaßen in separaten Angriffen auf verschiedene Institutionen verwendet wurden.

In der Regel kann die Vorgehensweise einer ausgefeilten Advanced Persistent Threat (APT) in vier Stadien unterteilt werden: der Einbruch (Erstinfektionen), das Erkunden (Data Harvesting), die Eroberung (Zielinfektion) und die Exfiltration (Diebstahl der Zielinformation).

Von besonderer Bedeutung ist die zweite Stufe, da die ersten Opfer in der Organisation in der Regel nicht die beabsichtigten sind. Die von der APT-Gruppe gesuchten sensiblen Informationen sind gut bewacht, so dass der Angriff mit stärker gefährdeten Zielen beginnen und dann einen Weg zum eigentlichen Ziel finden muss, sobald der Perimeter durchbrochen wurde.

Während der Erkundungsphase verwenden die meisten APTs Werkzeuge, die normalerweise von anderen Teams entwickelt werden. Solche Tools sind darauf spezialisiert, so viele Informationen wie möglich über die Umgebung des Opfers zu sammeln, da ein gründliches Profiling die Chancen erhöht, die gewünschten Ressourcen zu erreichen.

Hier setzt das EHDevel Toolkit an, das im Bitdefender-Whitepaper behandelt wird. Es ist ein ausgeklügeltes Framework, das seit Jahren für die Sammlung von Feldinformationen in verschiedenen Formen verwendet wird. Es nutzt eine Reihe neuartiger Techniken zur Identifizierung und Kommunikation mit Befehls- und Kontrollsystemen sowie eine Plugin-basierte Architektur, die in den letzten Jahren zunehmend von Cyberkriminellen Gruppen eingesetzt wurde.

Die Bedrohungsinformationen der Bitdefender Analysten weisen ebenfalls auf einen Zusammenhang mit der Operation Hangover APT von 2013 hin. Die technische Analyse in das Malware-Framework enthüllt eine komplizierte Mischung aus Übergängen von einer Programmiersprache in eine andere, Code, der aktiv weiterentwickelt wird und Bugs, die bislang nicht behoben wurden.

EHDevel – The story of a continuously improving advanced threat…

More than a year ago, on July 26th 2016, the Bitdefender Threat Intelligence Team came across a suspicious document called News.doc. However, unlike most potentially malicious documents that get processed in our labs, this file displayed similarities… #advancedthreat #ehdevel #malwareframework