Die Cyberspionage-Kampagne Siesta nutzt Phising-Mails, um Führungskräfte dazu zu bringen, in PDF-verkleidete Malware herunterzuladen. Ziel sind Unternehmen verschiedener Branchen, unter anderem Energie, Finanzen, Telekommunikation, Verteidigung und Transport.

Die E-Mails werden von gefälschten Adressen versandt, die den Anschein erwecken sollen, internen Mitarbeitern zu gehören. Und anstelle von Anhängen und Dokumenten-Exploits versendet die Kampagne die Malware über einen legitim wirkenden Download-Link.

Die URL dieses Links enthält den Namen der betroffenen Firma und ein PDF-Dokument in einem .zip-Ordner. Zwar kann der Empfänger tatsächlich ein PDF-Dokument öffnen, was zumeist von der Webseite der Organisation selbst stammt, allerdings wird gleichzeitig eine Backdoor-Datei ausgeführt.

Diese, mit dem Namen BKDR_SLOTH.A, wartet dann auf weitere Instruktionen von Command-and-Control-Servern. Einer dieser Befehle besteht darin, dass die Malware „schlafen“ soll. Für eine gewisse Zeit verhält sie sich also komplett ruhig und kommuniziert nicht mit den Servern, sodass sie schwer entdeckt werden kann. So kam die Kampagne zu ihrem Namen Siesta. Ein anderer Befehl ermöglicht der Malware, eine Datei von einer bestimmten URL herunterzuladen und auszuführen.

Die Kampagne dient vermutlich dem Zweck, wertvolle Daten von den Unternehmen zu sammeln. Jon Clay von Trend Micro:

„Die Angreifer haben ihre Hausaufgaben definitiv gemacht. Wenn man sich die Phishing-Mails ansieht, so sind sie nur an Führungskräfte adressiert. Sie kannten also die Namen der Führungskräfte der jeweiligen Organisation und die Mail kam von einer gefälschten internen Mitarbeiter-Adresse.“

Zwar werden verschiedene Varianten der Malware in diversen Kampagnen genutzt, aber sie verhalten sich alle gleich. Eine weitere Gemeinsamkeit gibt es: Die Command-and-Control-Server, die zur Steuerung genutzt werden, sind alle unter der gleichen E-Mail-Adresse xiaomao{BLOCKED}@163.com registriert worden. Die Hacker registrierten insgesamt rund 17.000 Domains unter diesem Namen. Diese kurzlebige Command-and-Control-Struktur erschwert die Zuordnung und Lokalisierung der Angreifer.

Als Sicherheitsmaßnahmen empfiehlt Clay, E-Mail-Anhänge auf schadhaftes Verhalten zu scannen und Mitarbeiter über die Möglichkeit solcher Attacken umfassend aufzuklären.

Artikel von scmagazine.com,  07.03.2014: „Siesta“ espionage campaign uncovered by researchers
Artikel von net-security.org, 07.03.2014:  Siesta cyber espionage campaign targets many industries