Pear

Überblick

Die Gruppe Pure Extraction And Ransom, abgekürzt PEAR, tritt nach eigener Darstellung als geschlossener, privat organisierter Zusammenschluss auf, der sich selbst als hochdisziplinierte und nach eigenem Bekunden besonders verantwortungsbewusst handelnde Gemeinschaft beschreibt. Die Akteure betonen, ein eigenständiges Team zu bilden, und grenzen sich ausdrücklich von anderen Bedrohungsgruppen ab, mit denen sie nach eigenen Angaben keine Verbindungen unterhalten. Sie stellen sich als erfahren dar und geben an, das Feld über einen längeren Zeitraum beobachtet zu haben, sodass sie die zugrunde liegenden Abläufe nach eigener Aussage genau verstehen. Der bereitstehende Quelltext beschränkt sich auf diese Selbstdarstellung der Gruppe und enthält darüber hinaus keine näheren Angaben zu bevorzugten Zielen oder zur konkreten Ausrichtung. Bereits der Name verweist auf ein Vorgehen, das auf die Entwendung von Daten und anschließende Erpressung ausgerichtet ist.

Taktiken & Vorgehen

Den initialen Zugang verschafft sich die Gruppe über gültige Konten sowie über Phishing. Zur Ausführung setzt sie PowerShell ein und verleitet Anwender zum Öffnen schädlicher Dateien sowie zum Ausführen über manipuliertes Kopieren und Einfügen. Dauerhafte Präsenz wird über Autostart-Mechanismen mittels Registry-Run-Keys und des Autostart-Ordners hergestellt. Zur Verschleierung dienen verschlüsselte oder kodierte Dateien sowie Process Injection durch DLL-Injektion. Anmeldedaten werden über Keylogging und das Auslesen in Web-Browsern gespeicherter Zugangsdaten erbeutet. Gesammelt werden Daten aus lokalen Systemen, aus E-Mails und aus Informationsspeichern, anschließend zwischengelagert und mit Werkzeugen archiviert. Die Exfiltration erfolgt über den C2-Kanal, über Web-Dienste und über Webhooks; die Steuerung nutzt Web-Protokolle sowie einen mehrstufigen Proxy.

Schutzmaßnahmen

Da gültige Konten zum Einsatz kommen, sollten Anmeldungen durch Mehr-Faktor-Authentisierung abgesichert und auf auffällige Nutzung überwacht werden. Gegen Phishing und das Ausführen schädlicher Dateien sollten E-Mail-Filterung sowie Sensibilisierungsmaßnahmen etabliert werden. Die Ausführung von PowerShell sollte eingeschränkt und protokolliert, das Skript-Logging aktiviert werden. Autostart-Einträge in Registry-Run-Keys und im Autostart-Ordner sollten regelmäßig überprüft werden. Zum Schutz vor Keylogging und dem Auslesen von Browser-Zugangsdaten sollten Endpunktschutz eingesetzt und im Browser gespeicherte Anmeldedaten vermieden werden. Gegen Exfiltration über C2-Kanäle, Web-Dienste, Webhooks und mehrstufige Proxys sollte der ausgehende Netzwerkverkehr überwacht und gefiltert werden.