- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Unklar, wer hinter den Angriffen steckt


Unsichtbare Angriffe: Im Speicher versteckte Malware greift Unternehmen in 40 Ländern an
Finanz- und Telekommunikationsbranche sowie Regierungsorganisationen betroffen - Hauptverdächtige sind die Gruppen GCMAN und Carbanak

- Anzeigen -





Die Experten von Kaspersky Lab haben eine Reihe zielgerichteter und nahezu unsichtbarer Attacken entdeckt, die ausschließlich mittels legitimer Software durchgeführt wurden. Die Angreifer nutzen weitverbreitete Tools für Penetrationstests und Administratoren sowie das PowerShell-Framework zur Aufgabenautomatisierung unter Windows. Es werden keine Malware-Dateien auf der Festplatte hinterlassen, sondern lediglich kurzeitig im Speicher versteckt. Der Ansatz verhindert eine Entdeckung durch Whitelisting-Technologien und hinterlässt Forensikern kaum analysierbare Spuren oder Malware-Muster. Die Angreifer verbleiben nur im System, solange sie Informationen sammeln. Mit dem nächsten Systemneustart sind alle Spuren beseitigt. Die Angreifer sind noch aktiv.

Ende des Jahres 2016 informierten Banken aus der GUS-Region Kaspersky Lab, dass sie eine Penetrationstest-Software, die oft für schadhafte Zwecke eingesetzt wird, unerwartet im Speicher ihrer Server gefunden haben. Anschließend entdeckten die Experten von Kaspersky Lab, dass der Penetrationstest-Code mit einer Reihe legitimer PowerShell-Skripts und anderen Hilfsmitteln verknüpft wurde. Die kombinierten Tools wurden in schafhaften Code umgearbeitet, der sich im Speicher verstecken und so unbemerkt Passwörter von Systemadministratoren sammeln konnte. Die Angreifer erlangten so die Kontrolle über ein System. Ziel war wohl der Zugriff auf Finanzprozesse.

Seither hat Kaspersky Lab eine Vielzahl solcher Attacken entdeckt: mehr als 140 Unternehmensnetzwerke in unterschiedlichen Wirtschaftsbereichen wurden angegriffen, vornehmlich Banken, Telekommunikationsunternehmen und Regierungsorganisationen. Die meisten Opfer stammen aus den USA, Frankreich, Ecuador, Kenia, Großbritannien und Russland. Auch wurden wenige deutsche und österreichische Zielobjekte ausgemacht. Insgesamt wurden Angriffe in 40 Ländern registriert.

Bisher ist unklar, wer hinter den Angriffen steckt. Der Einsatz von Open Source Exploit Code, herkömmlichen Windows-Tools und unbekannten Domains macht es fast unmöglich, die verantwortlichen Hintermänner zu bestimmen – oder herauszufinden, ob es sich um eine einzige Gruppe handelt oder um mehrere, die dieselben Werkzeuge verwenden. Bekannte Gruppen, die einen ähnlichen Ansatz verfolgen, sind GCMAN und Carbanak.

Kaspersky Lab: Einsatz legitimer und Open-Source-basierter Werkzeuge macht Zuweisung annähernd unmöglich
Die Verwendung derartiger Tools macht zudem die Entdeckung von Angriffsdetails schwierig. Für gewöhnlich folgen Experten während einer Vorfallreaktion (Incident Response) Spuren und Mustern, die im Netzwerk vom Angreifer zurückbleiben. Datenspuren können bis zu einem Jahr nach dem Vorfall auf Festplatten verbleiben, hier allerdings sind sie mit dem nächsten Neustart des Computers aus dem Speicher verschwunden. In diesem Fall konnten die Experten jedoch rechtzeitig die Spuren sichern.

"Die Entschlossenheit der Angreifer, ihre Aktivitäten zu verstecken und so die Entdeckung und eine Incident Response extrem zu erschweren, zeigt den neuesten Trend antiforensischer Techniken und speicherbasierter Malware", so Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. "Speicherforensik wird deshalb für die Analyse von Malware und deren Funktionen besonders wichtig. Bei diesen Attacken nutzten die Angreifer jede denkbare antiforensische Technik und demonstrierten, dass keine Malware-Dateien für das erfolgreiche Herausfiltern von Daten aus einem Netzwerk benötigt werden. Gleichzeitig zeigt sich, dass die Verwendung legitimer und Open-Source-basierter Werkzeuge eine Zuweisung der Attacke fast unmöglich macht."

Die Angreifer sind noch aktiv. Daher sollten IT-Sicherheitsverantwortliche darauf achten, dass ein derartiger Cyberangriff nur im RAM (Random Access Memory), Netzwerk und der Registry entdeckt werden kann. YARA-Regeln, die auf dem Scan schadhafter Dateien basieren, bieten hier keinen Schutz. Die Lösungen von Kaspersky Lab entdecken Angriffe mit den oben genannten Taktiken, Techniken und Verfahren. (Kaspersky Lab: ra)

eingetragen: 10.03.17
Home & Newsletterlauf: 15.03.17


Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Neue Angriffsstrategie über Firefox

    Seit 2007 attackiert die Cyberspionage-Gruppe Turla Regierungen sowie Regierungsvertreter und Diplomaten. Nun hat sie ihrem Arsenal ein neues Werkzeug hinzugefügt: Eset hat eine neue Angriffsstrategie analysiert, bei der die Gruppe eine Firefox-Erweiterung nutzt, um das beliebte soziale Netzwerk Instagram für ihre Zwecke zu missbrauchen. Die Taktik der Turla-Gruppe besteht üblicherweise in der Kompromittierung von Webseiten, die von den anvisierten Opfern häufiger aufgerufen werden - sogenannte "Watering-Hole-Attacken". Einmal ins Netz gegangen, werden die Nutzer auf einen Command-and-Control-Server (C&C) umgeleitet, über den die Geräte der Opfer Befehle empfangen und überwacht werden können.

  • Durch Manipulation Anzeigenklicks

    Check Point Software Technologies hat den Schädling Fireball enttarnt. Hinter der Schadsoftware steckt mutmaßlich die chinesische Marketing-Agentur Rafotech in Peking. Mit der auf über 250 Millionen Systemen verteilten Software könnten Cyberkriminelle weltweit Cyberattacken starten. Rafotech ist auf digitales Marketing spezialisiert und nutzt Fireball, um durch Manipulation Anzeigenklicks zu erzeugen. Dabei kapern sie den Online-Traffic der Nutzer und generieren so Umsatz durch Werbeeinnahmen. Aktuell werden vor allem Plug-Ins und weitere Konfigurationen installiert. Damit bewegt sich die Agentur in China in einer rechtlichen Grauzone.

  • Malware in Google-Play

    Check Point Software Technologies hat eine umfangreiche Angriffswelle mit 41 infizierten Apps im Google Play Store entdeckt. Der Schädling Judy wurde mindestens 8.5 Millionen Mal heruntergeladen. Ein Großteil der schädlichen Applikationen wurde von einem koreanischen Unternehmen namens Kiniwini entwickelt. Die Organisation entwickelt normalerweise Programme für iOS und Android, trat aber bisher nicht als Malware-Programmierer in Erscheinung. Nach einer Infektion generiert Judy Einnahmen durch Klicks auf Werbebanner. Dabei verfügt die Schadsoftware über Tarnmechanismen, um die Bouncer-Sicherheitsmechanismus von Google zu umgehen.

  • Hajime ein flexibles Bot-Netz

    Radware warnt vor dem immensen Zerstörungspotential des Botnets Hajime, das bisher einem sogenannten White Hat Hacker zugeordnet wird. Zwar habe der Entwickler des Bots diesen offensichtlich nach wie vor unter Kontrolle und bisher auch keine bösen Absichten erkennen lassen, so Radware, doch das Potential dieses Botnets sei verlockend. So könnten andere Hacker versuchen, Hajime zu hijacken und für ihre eigenen Zwecke zu gebrauchen. Zudem stelle sich die Frage, warum der Entwickler das Botnet so aggressiv ausbaut, wenn er damit keine bösen Absichten verfolgt. Hajime ist ein sehr ausgefeiltes, gut durchdachtes und flexibles Botnetz, das sich selbst updaten kann, um seinen "Mitgliedern" schnell und sicher neue Funktionalitäten zu verleihen. Es befällt wie Mirai IoT-Geräte mit offenen Telnet-Ports.

  • "Boost Views" greift PayPal-Zahlungsdaten ab

    Fürs Videoschauen bezahlt werden, den Traffic des YouTube-Kanals steigern oder ganz einfach vom Smartphone aus Bitcoins kaufen und verkaufen? Die Entwickler der Fake-Apps "Boost Views" und "PaxVendor" möchten Android-User glauben lassen, dass sie die passenden Anwendungen dafür bieten. Dabei haben es die Cyberkriminellen nur auf die Zahlungsdaten der Nutzer abgesehen. Der europäische Security-Software-Hersteller ESET hat beide Fake-Apps enttarnt und stellt die Analyse in einem ausführlichen Blogpost vor. Unter dem Deckmantel, eine YouTube-bezogene Dienstleistung anzubieten, hat sich "Boost Views" auf bis zu 100.000 Geräte geschlichen. Die App verspricht Nutzern, Einnahmen durch das Ansehen von Videos zu generieren. Die angeblich angehäufte Gutschrift sollen die Nutzer auf ihr PayPal-Konto transferieren können. Dafür werden sie aufgefordert, ihre Login-Daten in ein ungesichertes Authentifizierungsformular einzugeben.