- Anzeigen -


Sie sind hier: Home » Virenwarnung » Aktuelle Meldungen

Angreifer nutzen Malware-Modularisierungen





Berüchtigte Cyberspionagegruppe Sofacy mit neuen hinterhältigen Tools
Mehrere Backdoor-Programme können ein Zielobjekt mit verschiedenen maliziösen Tools infizieren

Die Experten von Kaspersky Lab entdeckten eine neue Angriffswelle der so genannten Sofacy-Gruppe. Dabei kommt hochgerüstete und vielseitige Technologie zum Einsatz, die Computersysteme aggressiv und gleichzeitig noch verdeckter angreift. Bei Sofacy – auch bekannt als "APT28", "Fancy Bear", "Sednit" oder "STRONTIUM – handelt es sich um eine russischsprachige APT-Gruppe (Advanced Persistent Threat), die seit mindestens 2008 aktiv ist und vor allem militärische und staatliche Einrichtungen weltweit im Visier hat. Die Gruppe ist seit dem Jahr 2014 öffentlich bekannt und nach wie vor aktiv.

Darüber hinaus entdeckten die Experten von Kaspersky Lab neue noch fortschrittlichere Werkzeuge im Angriffsarsenal von Sofacy, mit folgenden Eigenschaften:

• >> Austauschbar: Die Angreifer nutzen mehrere Backdoor-Programme, mit denen sie ein Zielobjekt mit verschiedenen maliziösen Tools infizieren können; eines davon dient als Wiederinfizierungs-Werkzeug, wenn ein anderes Tool von einer Sicherheitslösung blockiert oder entfernt wird.

• >> Modular: Die Angreifer nutzen Malware-Modularisierungen, indem sie einige Funktionen der Backdoor-Programme in verschiedene Module integrieren. So können sie ihre böswilligen Aktivitäten im attackierten System besser verschleiern – ein neuer beliebter Trend, der bei zielgerichteten Angriffen laut Kaspersky Lab regelmäßig zu beobachten ist.

• >> "Air-gaps": Bei zahlreichen aktuellen Attacken aus dem Jahr 2015 nutzte die Sofacy-Gruppe eine neue Version seiner USB-Stealer-Implantate. So können Daten sogar von Computern entwendet werden, die nicht am Netz hängen. Solche Computer werden als "air-gapped" bezeichnet.

"Sobald Forschungsergebnisse über eine bestimmte Cyberspionage-Gruppe öffentlich werden, reagiert die betroffene Gruppe normalerweise darauf. Sie stellt ihre Aktivität ein oder ändert ihre Taktik beziehungsweise Strategie", erklärt Costin Raiu, Director of Global Research and Analysis Team bei Kaspersky Lab. "Bei Sofacy stellen wir diese Reaktion nicht immer fest. Die Gruppe führt seit einigen Jahren Angriffe durch und ihre Aktivitäten wurden regelmäßig von der Security-Community öffentlich gemacht. Seit 2015 stiegen ihre Aktivitäten signifikant an.
Sie nutzen nicht weniger als fünf Zero-Days und gehören somit zum derzeit profiliertesten, agilsten und dynamischsten Bedrohungsakteur der Szene. Außer unserer Sicht wird es zu weiteren Angriffe kommen."

Die außergewöhnliche Angriffsmethode von Sofac
Im Jahr 2015 wurde eine Organisation aus der Rüstungsindustrie mit einer neuen Version des so genannten AZZY-Implantats anvisiert, einem Backdoor-Programm, das typischerweise von der Sofacy-Gruppe eingesetzt wird, um sich auf einer attackierten Maschine einzunisten sowie zusätzliche schädliche Tools herunterzuladen. Die Malware wurde erfolgreich von den Kaspersky-Lösungen blockiert. Allerdings geschah dann etwas sehr Ungewöhnliches: Nur eine Stunde nach der Blockierung des Trojaners wurde eine neue Version des Backdoor-Programms von den Angreifern erstellt und auf den angegriffenen PC geladen. Obwohl diese Version herkömmlichen Antiviren-Technologien ausweichen konnte, wurde sie dennoch von einem HIPS (Host Intrusion Prevention Subsystem) dynamisch erkannt.

In der folgenden Analyse der Kaspersky-Experten stelle sich heraus, dass diese neue Backdoor-Version nicht über ein Zero-Day-Exploit (was den üblichen Praktiken der Sofacy-Gruppe entsprochen hätte), sondern über ein anderes Implantat (Bezeichnung "msdeltemp.dll") heruntergeladen wurde.

Beim Trojaner "msdeltemp.dll" handelt es sich um ein Downloader-Programm, mit dem die Angreifer einer infizierten Maschine Befehle erteilen und von ihr Daten erhalten können. Zudem kann ein komplexerer Trojaner hochgeladen werden. Wird der nachgeladene Trojaner von einer Antiviren-Lösung blockiert, können die Angreifer immer noch auf den Trojaner "msdeltemp.dll" zurückgreifen, um vom Command-and-Control-Server (C&C) einen weiteren Trojaner zu laden und die anvisierte Maschine weiter anzugreifen.

Im Rahmen der neuen Angriffswelle hat sich die Taktik der Sofacy-Gruppe im Vergleich zu vergangenen Angriffen geändert: Sie laden nun eine neu erstellte (kompilierte) Version von AZZY nach, ersetzen damit die blockierte Version und vermeiden damit, dass der Infektionsprozess wieder von Anfang an durchlaufen werden muss. Daneben wird die Sichtbarkeit des Haupt-Backdoor-Programms über die Abtrennung der C&C-Kommunikationsfunktionalität von eben diesem Haupt-Backdoor-Programm geringer. Der Grund: Es werden keine Daten außerhalb des angegriffenen Computers direkt übertragen; aus Sicht der IT-Sicherheit erscheint es so weniger verdächtig.

USB-Stealer attackiert "air-gapped" Netzwerke
Auch entdeckten die Experten von Kaspersky Lab mehrere neue Versionen der von Sofacy genutzten USB-Stealer-Module, mit denen Daten von "air-gapped" Netzwerken gestohlen werden können. Das USBSTEALER-Modul wurde dafür entwickelt, um Wechseldatenträger zu überwachen und Daten von diesen zu sammeln. Die gestohlenen Daten werden in ein verstecktes Verzeichnis kopiert und können anschließend von den Angreifern über eines der AZZY-Implantate herausgefiltert werden. Die erste Version des neuen USB-Stealer-Moduls wurde im Februar 2015 entdeckt und scheint exklusiv bei besonders hochrangigen Zielobjekten eingesetzt zu werden. (Kaspersky Lab: ra)

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Aktuelle Meldungen

  • Nahezu jeder Browser betroffen

    Eset warnt vor der neu entdeckten Banking-Malware "BackSwap". Sie nutzt eine ebenso einfache wie perfide Methode, um sensible Banking-Daten zu erschleichen und positioniert sich dazu direkt im Browser der Opfer. Gleichzeitig hebelt die Malware technologische Abwehrmaßnahmen im Browser gezielt aus. "BackSwap" verwendet eine besonders einfallsreiche Technik, um an die vertraulichen Banking-Informationen der Opfer zu gelangen: Statt aufwändige Code-Infizierungsmethoden zur Browserüberwachung einzusetzen, hängt sich die Malware direkt in die angezeigten Nachrichtenfenster des Browsers. Dort simuliert der Trojaner Nutzereingaben, um Banking-Aktivitäten aufzuspüren. Sobald er solche Aktivitäten erkennt, wird schädlicher JavaScript Code injiziert, entweder über die JavaScript-Konsole oder direkt in die Adresszeile des Browsers. All das geschieht unbemerkt vom Nutzer.

  • Neue Bitcoin Cash-Ransomware "Thanatos"

    Seit kurzem warnen Sicherheitsexperten vor einer neuen kritischen Ransomware namens Thanatos. Der nach dem griechischen Totengott benannte Erpresser-Trojaner zeichnet sich dabei durch zwei Besonderheiten aus: Zum einen soll die Lösegeldforderung bei Thanatos nicht mehr mit herkömmlichen Bitcoins, sondern der neuen Kryptowährung Bitcoin Cash beglichen werden.

  • Neue Spionage-Malware ersetzt FinFisher

    Bei tiefgehenden Forschungen zu der berüchtigten Spyware FinFisher ist Eset auf eine neue Schadsoftware gestoßen: Die Malware StrongPity2 weist große Ähnlichkeiten zu der bereits bekannten Spyware auf. Die FinFisher-Kampagne wurde im September 2017 eingestellt, nachdem Eset aktuelle Forschungsergebnisse veröffentlichte. Nur wenige Wochen später wurden die Eset-Forscher auf Cyberattacken aufmerksam, bei denen sehr ähnliche Angriffsszenarien genutzt wurden. StrongPity2 gehört zu einer anderen Malware-Familie. Die Gemeinsamkeiten deuten jedoch darauf hin, dass die Malware nun als Ersatz für FinFisher verwendet wird.

  • DoubleLocker nutzt Android-Bedienungshilfen

    Eset warnt aktuell vor einer neuen Bedrohung für Android-Geräte. Der von Eset-Forschern entdeckte Android-Schädling verbreitet sich vorrangig als vermeintlicher "Adobe Flash Player" über infizierte Webseiten. DoubleLocker gilt nach Analyse der Experten als technisch ausgereift und kombiniert cyberkriminelle Taktiken auf neue Weise: Nach erfolgter Infektion verschlüsselt die Ransomware sämtliche Daten im Gerätespeicher und sperrt den Nutzer zusätzlich durch Veränderung der PIN aus. Um das Gerät von der DoubleLocker-Ransomware zu befreien, ist ein Zurücksetzen auf die Werkseinstellungen notwendig. "DoubleLocker nutzt Android-Bedienungshilfen, was ein beliebter Trick unter Cyberkriminellen ist. Die Nutzlast dieser Ransomware kann die PIN des Geräts ändern, sodass das Opfer nicht mehr darauf zugreifen kann und die Daten verschlüsselt werden. Diese Kombination von Tools wurde im Android-Ökosystem noch nicht beobachtet", so LukᚠŠtefanko, Malware Researcher bei Eset und Entdecker von DoubleLocker.

  • Antivirenprogramme schützen

    Eset verzeichnet eine starke Verbreitung eines altbekannten Schädlings: Der Trojaner HTML/FakeAlert wurde erstmals im Dezember 2009 entdeckt. Dann war es lange Zeit ruhig um die Schadsoftware, bis 2015 die Fälle erneut anstiegen. Seitdem ist die Erkennungsquote weltweit enorm gestiegen. Derzeit zählt HTML/FakeAlert zu den fünf größten Bedrohungen rund um den Globus und weist in Deutschland die höchsten Erkennungsraten im Vergleich zu anderer Malware auf. Der Trojaner HTML/FakeAlert kann durch anderen Schadcode auf den Computer eines Opfers gelangen, wie etwa über Webseiten, E-Mail-Anhänge oder Downloads von Filesharing-Seiten.