- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

TeleBots sind zurück


So konnte sich die Petya-ähnliche Malware Diskcoder.C verbreiten
Cyberkriminelle bauten eine ausgefeilte Backdoor in das Buchhaltungsprogramm M.E.Doc ein

- Anzeigen -





Ende Juni traf eine neue Cyberattacke zahlreiche Computersysteme weltweit. Im Kern des Angriffs stand eine Malware, die der Ransomware Petya ähnelt. Inzwischen wurde die vor allem in der Ukraine verbreitete Buchhaltungssoftware M.E.Doc als Ursprung der Attacke identifiziert. Eset hat die Backdoor, die die Cyberkriminellen in die Software einschleusten, analysiert. Dabei konnte Eset neue Erkenntnisse über die Verbreitung der Malware gewinnen, die Eset als Win32/Diskcoder.C erkennt.

Hacker zeigen tiefes Verständnis des verwendeten Programms
Die Eset Analyse der Backdoor in M.E.Doc zeigt, dass die Hacker ihren Angriff sorgfältig planten und ausführten. Um die Sicherheitslücke in das Programm einzuschleusen, müssen sie sich Zugriff zum Quellcode des Programms verschafft und sich ausführlich mit ihm befasst haben. Außerdem erlangten sie Zugriff auf den Server, über den die Software bereitgestellt wurde. Ohne aktives Zutun der Opfer wurden so immer wieder infizierte Updates auf den Rechnern der Nutzer von M.E.Doc installiert. Über das interne Nachrichtensystem des Programms versendeten die Hacker darüber hinaus Phishing-Nachrichten an weitere Opfer. Zudem verbreitete sich die Malware über VPN-Verbindungen in den Unternehmen, die M.E.Doc nutzen, intern sowie bei ihren Kunden und Geschäftspartnern.

"Ihr Verständnis von der Software und ihren Nutzern zeigt, dass die Angreifer große Ressourcen zur Verfügung hatten, um Diskcoder.C. zu verbreiten", erklärt Anton Cherepanov, Malware Researcher bei Eset. Derzeit ist noch nicht bekannt, ob die Hacker neben der bekannten Backdoor noch weitere Sicherheitslücken in die Software einschleusen konnten.

Bei der Analyse der Malware erkannten die Eset Forscher zahlreiche Parallelen zu früheren Angriffen. Eine Längsschnittanalyse legt nahe, dass der Cyberangriff der Hackergruppe TeleBots zuzuschreiben ist. Diese ist unter anderem für die Linux-Version der KillDisk-Malware verantwortlich und verübte Angriffe auf zahlreiche ukrainische Unternehmen, darunter Finanzinstitute und kritische Infrastruktureinrichtungen. Zudem konnte der Gruppe eine Verbindung zu den berüchtigten BlackEnergy-Hackern nachgewiesen werden, die für die Stromausfälle im Dezember 2015 in der Ukraine verantwortlich waren.
(Eset: ra)

eingetragen: 07.07.17
Home & Newsletterlauf: 18.07.17


Eset: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Sofacy ist eine sehr aktive Cyberspionagegruppe

    Die Experten von Kaspersky Lab beobachten in jüngster Zeit eine Verlagerung des Operationsgebiets von Sofacy. Der russischsprachige Bedrohungsakteur, der auch unter den Namen APT28 oder Fancy Bear bekannt ist, nimmt neben Zielen im Kontext der NATO jetzt weitere Ziele in Fernost ins Visier - mit starkem Interesse an diplomatischen, militärischen und Verteidigungs-Einrichtungen. Die Kaspersky-Experten beobachten dabei gelegentliche Übereinstimmungen mit den Zielen anderer Bedrohungsakteure, etwa mit der russischsprachigen Turla- und der chinesischsprachigen Danti-Gruppe. Besonders auffällig waren allerdings Sofacy-Backdoor-Programme, die sich auf einem Server befanden, der bereits vom englischsprachigen Bedrohungsakteur Lamberts kompromittiert war. Der Server gehörte zu einem chinesischen Mischkonzern für Rüstung und Luftfahrt.

  • Cryptomining-Kampagne mit Jenkins Server

    Check Point Software Technologies entdeckte riesige Mining-Aktivitäten mit dem XMRig-Miner. Die Verantwortlichen kommen wahrscheinlich aus China und erstellen Einheiten der Kryptowährung Monero. Zudem gibt es Anzeichen davon, dass die Hintermänner in einer großangelegten Aktion versuchen, die Rechenleistung von Jenkins CI-Servern für ihre Zwecke zu missbrauchen. Es wird angenommen, dass bisher Monero im Wert von drei Millionen US-Dollar kreiert wurden. Durch eine bekannte Schwachstelle (CVE-2017-1000353) in der Jenkins Java Deserialization-Implementierung kann sich diese Summe aber noch deutlich erhöhen. Dabei reichen zwei aufeinanderfolgende Anfragen an das CLI-Interface aus, um die Server zu kapern und den Schadcode einzuschleusen.

  • Neue Methoden, um Computer zu infizieren

    Symantec hat eine Untersuchung über die zunehmenden Aktivitäten einer Hackergruppe im Iran veröffentlicht. Die als Chafer bezeichnete Gruppe führt im Nahen Osten und darüber hinaus ambitionierte Angriffe durch. Sie setzt dabei zahlreiche neue Hacking-Tools ein. Chafer ist seit mindestens Juli 2014 aktiv und wurde erstmals von Symantec im Dezember 2015 entdeckt. Damals ging es den Angreifern hauptsächlich darum, Daten zu sammeln und ihre Angriffsziele zu überwachen.

  • Angriffstechnik: "Memcached Reflection"

    Das Security Intelligence Response Team (SIRT) von Akamai berichtet in einem Blogpost über eine neue Distributed-Denial-of-Service- (DDoS-)Angriffswelle, die auf der neuartigen Angriffstechnik "Memcached Reflection" beruht. Sie greift Memcached Server an und missbraucht diese für Attacken auf ausgewählte Ziele. Memcached Server puffern dynamische Web-Applikationen im Hauptspeicher des Servers, um den Zugriff zu beschleunigen und so das Datenbank-Backend zu entlasten. Angriffe in einer Größe wie sie durch "Memcached Reflection" verursacht werden, können nicht ohne weiteres von Rechenzentrumslösungen abgewehrt werden, sondern erfordern die Unterstützung von Upstream ISPs und/oder Cloud-basierten DDoS-Security-Services.

  • Angriffe im Terabit-Bereich

    Netscout Arbor, ein Sicherheitsspezialist für DDoS-Abwehr-Lösungen, bestätigt einen DDoS-Angriff mit 1,7 Terabit pro Sekunde (Tbps) auf ein in den USA ansässiges Unternehmen. Letzte Woche hatte das Unternehmen Akamai den ersten Terabit-Angriff mit 1,3 Terabit pro Sekunde gemessen. Beide DDoS-Angriffe haben die gleichen Techniken verwendet. Hierzu wurden falsch konfigurierte memcached Server in Internet-Data-Center (IDC)-Netzwerken als Reflektoren/Verstärker missbraucht.