- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Malware über Spear-Phishing-Dokumente


"Olympic Destroyer" ist zurück und zielt auf europäische Einrichtungen zur chemischen und biologischen Gefahrenabwehr ab
Kaspersky-Analyse: Auch Ziele in Deutschland und der Schweiz im Visier

- Anzeigen -





Die Experten von Kaspersky Lab haben herausgefunden, dass die hinter dem Bedrohungsakteur 'Olympic Destroyer' stehende Hacker-Gruppe noch aktiv ist. Olympic Destroyer wurde im Zusammenhang einer Attacke auf die Eröffnungsfeier der Olympischen Winterspiele in Pyeongchang bekannt. Scheinbar visieren die Angreifer nun Organisationen in Deutschland, Frankreich, der Schweiz, den Niederlanden, der Ukraine und Russland an, die mit dem Schutz vor chemischen und biologischen Bedrohungen zu tun haben.

Bei OIympic Destroyer handelt es sich um einen fortschrittlichen Bedrohungsakteur, der Organisationen, Lieferanten und Partner der Olympischen Winterspiele 2018 in Pyeongchang, Südkorea, mit einer Cybersabotage-Operation auf Basis eines schädlichen Netzwerkwurms getroffen hat. Hinsichtlich des Ursprungs der Attacke deuteten damals viele Hinweise in verschiedene Richtungen, was im Februar 2018 zu einigen Verwirrungen innerhalb der Security-Branche führte.

Einige von Kaspersky Lab entdeckte rare und komplexe Anzeichen deuteten darauf hin, dass die Lazarus-Gruppe, ein mit Nordkorea in Verbindung gebrachter Bedrohungsakteur, hinter der Operation steckt. Im März 2018 bestätigte Kaspersky Lab jedoch, dass die Kampagne eine aufwendige und überzeugende False-Flag-Operation beinhaltete, hinter der höchstwahrscheinlich doch nicht die Lazarus-Gruppe steckte.

Die Experten fanden nun heraus, dass Olympic Destroyer wieder aktiv ist, zum Teil das originale Tool-Set verwendet und es auf Zielobjekte in Europa abgesehen hat.

Spear-Phishing mit Bezug auf Schweizer Konferenz zu biochemischen Bedrohungen
Der Bedrohungsakteur verbreitet die Malware über Spear-Phishing-Dokumente, die den bei der Operation gegen die olympischen Winterspiele als Angriffswaffe verwendeten Dokumenten sehr ähnlich sind. Eines der Dokumente, mit denen potentielle Opfer angelockt werden sollen, nimmt auf die ,Spiez Convergence‘ Bezug. Dabei handelt es sich um eine Konferenz zu biochemischen Bedrohungen, die im Herbst 2018 in der Schweiz stattfindet und vom Labor Spiez veranstaltet wird, einer Organisation, die bei den Untersuchungen zum Salisbury-Fall (Skripal-Fall) eine Schlüsselrolle gespielt hat. Ein weiteres Dokument hatte es auf eine Gesundheits- und Veterinär-Einheit in der Ukraine abgesehen. Einige der von Sicherheitsexperten entdeckten Spear-Phishing-Dokumente enthielten Wörter in Russisch und Deutsch.

Die aus den gefährlichen Dokumenten extrahierte finale Nutzlast (Payload) wurde für den generischen Zugriff auf kompromittierte Computer entwickelt. Für die zweite Stufe des Angriffs wurde das Open-Source-basierte und freie Framework ,Powershell Empire‘ verwendet.

Die Angreifer scheinen kompromittierte legitimen Webserver zu nutzen, auf denen sie die Malware hosten und kontrollieren. Diese Server nutzen das beliebte Open-Source-Content-Management-System (CMS) Joomla. Die Experten fanden heraus, dass es sich bei einem der Server, der die gefährliche Payload hostet, um eine Version von Joomla (v1.7.3) handelt, die im November 2011 veröffentlicht wurde. Das deutet darauf hin, dass die Hacker eine längst veraltete Version des CMS-Systems für das Hacken der Server ausgenutzt haben.

Auf Basis der Telemetrie von Kaspersky Lab sowie Daten, die bei verschiedenen Viren-Scanner-Services hochgeladen wurden, scheint sich die Olympic-Destroyer-Kampagne für Einheiten in Deutschland, Frankreich, der Schweiz, die Niederlande, der Ukraine und Russland zu interessieren.

"Als Anfang des Jahres Olympic Destroyer mit seinen ausgefeilten Täuschungsmanövern auftauchte, wurde offensichtlich, dass sich das Spiel mit der Attribuierung – also der Zuschreibung – von Angriffen für immer verändern wird. Es zeigte sich, wie einfach sich Fehler einschleichen, wenn man nur mit den Fragmenten eines Bildes, die für die Forscher sichtbar sind, arbeitet", sagt Vitaly Kamlyuk, Sicherheitsforscher bei Kaspersky Lab. "Die Analyse und Abschreckung derartiger Bedrohungen sollte auf der Kooperation zwischen dem Privatsektor und den Regierungen sowie über nationale Grenzen hinaus basieren. Wir hoffen, dass mit dem Publizieren unserer Ergebnisse die Sicherheitsbeauftragten und die Sicherheitsforscher zukünftig besser in der Lage sind, einen solchen Angriff in jedem Stadium zu erkennen und zu verhindern."

Bei der vorangegangenen Attacke während der Olympischen Winterspiele begann die Aufklärung einige Monate vor der Epidemie des sich selbst verändernden destruktiven Netzwerkwurms. Es ist sehr gut möglich, dass Olympic Destroyer einen ähnlichen Angriff mit neuer Ausrichtung vorbereitet. Aus diesem Grund rät Kaspersky Lab biologischen und chemischen Bedrohungsforschungseinrichtungen, sich der Gefahr bewusst zu sein und außerplanmäßige Sicherheitsaudits durchzuführen.
(Kaspersky Lab: ra)

eingetragen: 22.06.18
Newsletterlauf: 27.06.18

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Käufer können eigene Bot-Shops aufsetzen

    Netscout Arbor, Sicherheitsspezialist für DDoS-Abwehr-Lösungen, warnt vor dem Malware-Downloader Kardon Loader. Dieser ermöglicht den Download und die Installation anderer Malware wie etwa Banktrojaner, Ransomware oder Trojaner zum Daten- und Identitätsdiebstahl. Downloader sind ein wesentlicher Teil des Malware-Ökosystems. Sie werden oft von spezialisierten Hackern entwickelt und unabhängig vom jeweiligen Trojaner vertrieben. Kardon Loader wird seit Ende April vom Nutzer "Yattaze" ab 50 US-Dollar in Untergrund- und Hacker-Foren als kostenpflichtiges Open-Beta-Produkt beworben. Kardon Loader soll zudem Bot-Store-Funktionalitäten bieten. So können Käufer eigene Bot-Shops aufsetzen. Es ist davon auszugehen, dass die Malware ein Rebranding des ZeroCool-Botnets ist, das vom gleichen Akteur entwickelt wurde.

  • Vermeintlicher VPN-Dienst namens "s5mark"

    Bitdefender hat einen für Werbebetrug entwickelte Malware entdeckt, die seit 2012 aktiv ist. Die Malware, von Bitdefender "Zacinlo" getauft, ist eine Rootkit-basierte Adware, die auf einem konfigurierbaren und hoch modularem Design aufbaut, das seine Funktionalität über Skripte und Konfigurationsdateien jederzeit erweitern kann. Ein mit Zacinlo infizierter PC öffnet entweder unsichtbare Browserinstanzen, um Werbebanner darin zu laden und Klicks auf diese zu simulieren, oder es tauscht die im Browser geladenen Anzeigen mit den Anzeigen des Angreifers aus, so dass die Betrüger im Hintergrund Werbeeinnahmen sammeln.

  • Android Remote Administration Tools (RATs)

    Eset warnt vor der mobilen Malware "HeroRat". Sie nutzt das Protokoll des beliebten Messengers Telegram, um Kontrolle über Android-Smartphones zu erlangen und sie fernzusteuern. Der gefährliche Schädling ist Teil einer ganzen Familie von Android RATs (Remote Administration Tools), die Eset-Sicherheitsforscher bereits im August 2017 entdeckt hatten. Im März dieses Jahres wurde der Quellcode kostenlos in verschiedenen Telegram-Hacking-Kanälen verfügbar gemacht. Daraus entwickelten sich dann parallel Hunderte Varianten der Malware, die sich nun in freier Wildbahn im Umlauf befinden.

  • Malware über Spear-Phishing-Dokumente

    Die Experten von Kaspersky Lab haben herausgefunden, dass die hinter dem Bedrohungsakteur 'Olympic Destroyer' stehende Hacker-Gruppe noch aktiv ist. Olympic Destroyer wurde im Zusammenhang einer Attacke auf die Eröffnungsfeier der Olympischen Winterspiele in Pyeongchang bekannt. Scheinbar visieren die Angreifer nun Organisationen in Deutschland, Frankreich, der Schweiz, den Niederlanden, der Ukraine und Russland an, die mit dem Schutz vor chemischen und biologischen Bedrohungen zu tun haben.

  • Versteckte Schadsoftware in Apps bei Google Play

    Symantec hat 38 schädliche Apps im Google Play Store gefunden, die als Spiele- oder Wissens-Apps getarnt sind. Da ihr Icon nach der Installation nicht auf dem Startbildschirm (Home Screen) sichtbar ist, scheinen sie nicht vorhanden zu sein. Gleichzeitig werden ihre Nutzer dazu aufgefordert, eine andere App von Google Play zu installieren, die Werbung anzeigt. Die Apps wurden im Dezember 2017 im Play Store veröffentlicht, wurden aber alle entfernt, nachdem Symantec Google informiert hatte. Die Mehrheit der Benutzer dieser Apps kam aus den USA, Großbritannien, Südafrika, Indien, Japan, Ägypten, den Niederlanden und Schweden. Die Apps wurden insgesamt auf mindestens 10.000 Geräten installiert.