- Anzeigen -


Sie sind hier: Home » Virenwarnung » Aktuelle Meldungen

Angreifer nutzen Malware-Modularisierungen





Berüchtigte Cyberspionagegruppe Sofacy mit neuen hinterhältigen Tools
Mehrere Backdoor-Programme können ein Zielobjekt mit verschiedenen maliziösen Tools infizieren

Die Experten von Kaspersky Lab entdeckten eine neue Angriffswelle der so genannten Sofacy-Gruppe. Dabei kommt hochgerüstete und vielseitige Technologie zum Einsatz, die Computersysteme aggressiv und gleichzeitig noch verdeckter angreift. Bei Sofacy – auch bekannt als "APT28", "Fancy Bear", "Sednit" oder "STRONTIUM – handelt es sich um eine russischsprachige APT-Gruppe (Advanced Persistent Threat), die seit mindestens 2008 aktiv ist und vor allem militärische und staatliche Einrichtungen weltweit im Visier hat. Die Gruppe ist seit dem Jahr 2014 öffentlich bekannt und nach wie vor aktiv.

Darüber hinaus entdeckten die Experten von Kaspersky Lab neue noch fortschrittlichere Werkzeuge im Angriffsarsenal von Sofacy, mit folgenden Eigenschaften:

• >> Austauschbar: Die Angreifer nutzen mehrere Backdoor-Programme, mit denen sie ein Zielobjekt mit verschiedenen maliziösen Tools infizieren können; eines davon dient als Wiederinfizierungs-Werkzeug, wenn ein anderes Tool von einer Sicherheitslösung blockiert oder entfernt wird.

• >> Modular: Die Angreifer nutzen Malware-Modularisierungen, indem sie einige Funktionen der Backdoor-Programme in verschiedene Module integrieren. So können sie ihre böswilligen Aktivitäten im attackierten System besser verschleiern – ein neuer beliebter Trend, der bei zielgerichteten Angriffen laut Kaspersky Lab regelmäßig zu beobachten ist.

• >> "Air-gaps": Bei zahlreichen aktuellen Attacken aus dem Jahr 2015 nutzte die Sofacy-Gruppe eine neue Version seiner USB-Stealer-Implantate. So können Daten sogar von Computern entwendet werden, die nicht am Netz hängen. Solche Computer werden als "air-gapped" bezeichnet.

"Sobald Forschungsergebnisse über eine bestimmte Cyberspionage-Gruppe öffentlich werden, reagiert die betroffene Gruppe normalerweise darauf. Sie stellt ihre Aktivität ein oder ändert ihre Taktik beziehungsweise Strategie", erklärt Costin Raiu, Director of Global Research and Analysis Team bei Kaspersky Lab. "Bei Sofacy stellen wir diese Reaktion nicht immer fest. Die Gruppe führt seit einigen Jahren Angriffe durch und ihre Aktivitäten wurden regelmäßig von der Security-Community öffentlich gemacht. Seit 2015 stiegen ihre Aktivitäten signifikant an.
Sie nutzen nicht weniger als fünf Zero-Days und gehören somit zum derzeit profiliertesten, agilsten und dynamischsten Bedrohungsakteur der Szene. Außer unserer Sicht wird es zu weiteren Angriffe kommen."

Die außergewöhnliche Angriffsmethode von Sofac
Im Jahr 2015 wurde eine Organisation aus der Rüstungsindustrie mit einer neuen Version des so genannten AZZY-Implantats anvisiert, einem Backdoor-Programm, das typischerweise von der Sofacy-Gruppe eingesetzt wird, um sich auf einer attackierten Maschine einzunisten sowie zusätzliche schädliche Tools herunterzuladen. Die Malware wurde erfolgreich von den Kaspersky-Lösungen blockiert. Allerdings geschah dann etwas sehr Ungewöhnliches: Nur eine Stunde nach der Blockierung des Trojaners wurde eine neue Version des Backdoor-Programms von den Angreifern erstellt und auf den angegriffenen PC geladen. Obwohl diese Version herkömmlichen Antiviren-Technologien ausweichen konnte, wurde sie dennoch von einem HIPS (Host Intrusion Prevention Subsystem) dynamisch erkannt.

In der folgenden Analyse der Kaspersky-Experten stelle sich heraus, dass diese neue Backdoor-Version nicht über ein Zero-Day-Exploit (was den üblichen Praktiken der Sofacy-Gruppe entsprochen hätte), sondern über ein anderes Implantat (Bezeichnung "msdeltemp.dll") heruntergeladen wurde.

Beim Trojaner "msdeltemp.dll" handelt es sich um ein Downloader-Programm, mit dem die Angreifer einer infizierten Maschine Befehle erteilen und von ihr Daten erhalten können. Zudem kann ein komplexerer Trojaner hochgeladen werden. Wird der nachgeladene Trojaner von einer Antiviren-Lösung blockiert, können die Angreifer immer noch auf den Trojaner "msdeltemp.dll" zurückgreifen, um vom Command-and-Control-Server (C&C) einen weiteren Trojaner zu laden und die anvisierte Maschine weiter anzugreifen.

Im Rahmen der neuen Angriffswelle hat sich die Taktik der Sofacy-Gruppe im Vergleich zu vergangenen Angriffen geändert: Sie laden nun eine neu erstellte (kompilierte) Version von AZZY nach, ersetzen damit die blockierte Version und vermeiden damit, dass der Infektionsprozess wieder von Anfang an durchlaufen werden muss. Daneben wird die Sichtbarkeit des Haupt-Backdoor-Programms über die Abtrennung der C&C-Kommunikationsfunktionalität von eben diesem Haupt-Backdoor-Programm geringer. Der Grund: Es werden keine Daten außerhalb des angegriffenen Computers direkt übertragen; aus Sicht der IT-Sicherheit erscheint es so weniger verdächtig.

USB-Stealer attackiert "air-gapped" Netzwerke
Auch entdeckten die Experten von Kaspersky Lab mehrere neue Versionen der von Sofacy genutzten USB-Stealer-Module, mit denen Daten von "air-gapped" Netzwerken gestohlen werden können. Das USBSTEALER-Modul wurde dafür entwickelt, um Wechseldatenträger zu überwachen und Daten von diesen zu sammeln. Die gestohlenen Daten werden in ein verstecktes Verzeichnis kopiert und können anschließend von den Angreifern über eines der AZZY-Implantate herausgefiltert werden. Die erste Version des neuen USB-Stealer-Moduls wurde im Februar 2015 entdeckt und scheint exklusiv bei besonders hochrangigen Zielobjekten eingesetzt zu werden. (Kaspersky Lab: ra)

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Aktuelle Meldungen

  • Malware verlangt Lösegeld in Kryptowährung

    Die Forscher von McAfee gaben die Entdeckung einer neuen Ransomware-Familie, "Anatova", bekannt. Die Ransomware wurde in einem privaten Peer-to-Peer (p2p)-Netzwerk entdeckt und zielt auf Verbraucher weltweit ab, indem sie das Symbol eines Spiels oder einer Application verwendet, um den Benutzer zum Herunterladen zu verleiten.

  • Malware-Verbreitung über Spam-Kampagne

    Nach einer relativen ruhigen Phase startet Emotet eine neue Spam-E-Mail-Kampagne. Darin setzen die Cyberkriminellen auf schädliche Word- und PDF-Anhänge, die als Rechnungen, Zahlungsbenachrichtigungen, Bankkontenwarnungen usw. getarnt sind und von scheinbar legitimen Organisationen stammen. Anstelle von Anhängen enthalten die Spam-E-Mails alternativ schädliche Links. Die in der Kampagne verwendeten E-Mail-Betreffe legen eine Ausrichtung auf englisch- und deutschsprachige User nahe. Eset-Sicherheitsprodukte erkennen und blockieren alle Emotet-Komponenten unter den im IoCs-Abschnitt aufgeführten Erkennungsnamen.

  • Vertraulichen Banking-Informationen

    Eset warnt vor der neu entdeckten Banking Malware "BackSwap". Sie nutzt eine ebenso einfache wie perfide Methode, um sensible Banking-Daten zu erschleichen und positioniert sich dazu direkt im Browser der Opfer. Gleichzeitig hebelt die Malware technologische Abwehrmaßnahmen im Browser gezielt aus. "BackSwap" verwendet eine besonders einfallsreiche Technik, um an die vertraulichen Banking-Informationen der Opfer zu gelangen: Statt aufwändige Code-Infizierungsmethoden zur Browserüberwachung einzusetzen, hängt sich die Malware direkt in die angezeigten Nachrichtenfenster des Browsers. Dort simuliert der Trojaner Nutzereingaben, um Banking Aktivitäten aufzuspüren. Sobald er solche Aktivitäten erkennt, wird schädlicher JavaScript Code injiziert, entweder über die JavaScript Konsole oder direkt in die Adresszeile des Browsers. All das geschieht unbemerkt vom Nutzer.

  • Nahezu jeder Browser betroffen

    Eset warnt vor der neu entdeckten Banking-Malware "BackSwap". Sie nutzt eine ebenso einfache wie perfide Methode, um sensible Banking-Daten zu erschleichen und positioniert sich dazu direkt im Browser der Opfer. Gleichzeitig hebelt die Malware technologische Abwehrmaßnahmen im Browser gezielt aus. "BackSwap" verwendet eine besonders einfallsreiche Technik, um an die vertraulichen Banking-Informationen der Opfer zu gelangen: Statt aufwändige Code-Infizierungsmethoden zur Browserüberwachung einzusetzen, hängt sich die Malware direkt in die angezeigten Nachrichtenfenster des Browsers. Dort simuliert der Trojaner Nutzereingaben, um Banking-Aktivitäten aufzuspüren. Sobald er solche Aktivitäten erkennt, wird schädlicher JavaScript Code injiziert, entweder über die JavaScript-Konsole oder direkt in die Adresszeile des Browsers. All das geschieht unbemerkt vom Nutzer.

  • Neue Bitcoin Cash-Ransomware "Thanatos"

    Seit kurzem warnen Sicherheitsexperten vor einer neuen kritischen Ransomware namens Thanatos. Der nach dem griechischen Totengott benannte Erpresser-Trojaner zeichnet sich dabei durch zwei Besonderheiten aus: Zum einen soll die Lösegeldforderung bei Thanatos nicht mehr mit herkömmlichen Bitcoins, sondern der neuen Kryptowährung Bitcoin Cash beglichen werden.