- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Datensammelmaschine "CosmicDuke"


Die Hintermänner von Miniduke sind mit einem sehr flexiblen und komplexen Schädling wieder aktiv
Analysen haben ergeben, dass die Miniduke/CosmicDuke-Angreifer der klassischen Montag-bis-Freitag-Arbeitswoche folgten

(18.07.14) - Malware-Infektionen des Schädlings Miniduke aus dem Jahr 2013 sind nach wie vor aktiv und werden für Cyberkampagnen eingesetzt, die sich gegen Regierungseinrichtungen und andere Instanzen richten. Dies geht aus einer aktuellen Analyse von Kaspersky Lab hervor. Der neue Schädling mit dem Namen CosmicDuke hat es auf diplomatische Organisationen, den Energiesektor, Telekommunikationsbetreiber, Rüstungsunternehmen und Einzelpersonen abgesehen, die in den Handel und den Verkauf mit illegalen Substanzen involviert sind. Eine Liste der Opfer zeigt, dass die Hintermänner von Miniduke mit der neuen Angriffswelle ihren Aktionsradius ausweiten. Die neue hierfür genutzte Plattform – BotGenStudio – könnte nicht nur für APT-Attacken, sondern auch von Strafverfolgungsbehörden und traditionellen Kriminellen eingesetzt werden. CosmicDuke fungiert unter anderem als Keylogger, sammelt diverse Daten, macht Screenshots und stiehlt Passwörter für beliebte Chat-Tools, Mail-Programme und Browser.

Bei der Analyse der Server von Miniduke hat Kaspersky Lab eine Liste mit den Opfern und deren Länderzugehörigkeit extrahiert. So kann festgehalten werden, dass es die bereits bekannte Miniduke-Version auf Ziele in Australien, Belgien, Deutschland, Frankreich, den Niederlanden, Spanien, der Ukraine, Ungarn und in den Vereinigten Staaten von Amerika abgesehen hat. Opfer in mindestens drei dieser Länder zählt Kaspersky Lab zur Kategorie "Regierungen".

Hingegen ergab die Analyse eines Servers von CosmicDuke – der neu entdeckten Version – eine lange Liste mit Opfern (139 einzelne IPs) mit Beginn im April 2012. Die Opfer kommen aus den folgenden Ländern: Georgien, Russland, USA, Großbritannien, Kasachstan, Indien, Weißrussland, Zypern, Ukraine und Litauen. Die Angreifer waren also sehr daran interessiert, ihre Operationen auszuweiten und scannten IP-Bereiche und Server in Aserbaidschan, Griechenland und der Ukraine.

Die ungewöhnlichsten Opfer waren Einzelpersonen, die in den Handel und Verkauf von illegalen Substanzen involviert sind, wie beispielsweise Steroide und Hormone. Die Opfer wurden ausschließlich in Russland identifiziert.

"Dies ist ein bisschen ungewöhnlich, da wir normalerweise, wenn wir von APT-Attacken sprechen, an von staatlich gestützte Cyberspionageprogramme denken", so Vitaly Kamluk, Principal Security Researcher, Global Research & Analysis Team bei Kaspersky Lab. "Dies könnte zweierlei Gründe haben: Zum einen kann die Plattform BotGenStudio, die bei Miniduke verwendet wird, auch als so genanntes legales Spyware-Tool genutzt werden – ähnlich wie das Remote Control System (RCS) von HackingTeam von Strafverfolgungsbehörden genutzt wird. Zum anderen könnten Wettbewerber der Pharmaindustrie sich gegenseitig ausspionieren, weil im Untergrund leicht an das Tool zu kommen ist."

Obwohl an unterschiedlichen Stellen die englische Sprache verwendet wird, deuten verschiedene Indikatoren wie Zeichenketten, die den neuen Malware-Komponenten beigefügt wurden, darauf hin, dass es sich bei den Angreifern nicht um englische Muttersprachler handelt.

Zudem hat die Kaspersky-Analyse ergeben, dass die Miniduke/CosmicDuke-Angreifer der klassischen Montag-bis-Freitag-Arbeitswoche folgten. Allerdings arbeiteten sie von Zeit zu Zeit auch am Wochenende. Am aktivsten waren die Angreifer von sechs Uhr morgens bis sieben Uhr abends (GMT) – der Großteil der Arbeit wurde zwischen sechs Uhr morgens und vier Uhr nachmittags verrichtet.

Das "neue" Miniduke-Backdoor im Detail
Nach der Veröffentlichung einer Analyse von Kaspersky Lab und CrySyS Lab im vergangenen Jahr wurden die APT-Miniduke-Angriffe gestoppt, allerdings Anfang dieses Jahres wieder fortgesetzt. Kaspersky Lab stellt bei seiner neuen Miniduke-Analyse Unterschiede hinsichtlich der Angriffswege und der eingesetzten Tools fest.

Die Miniduke-Hintermänner setzen bei ihrer neuen Angriffswelle ein anderes maßgeschneidertes Backdoor-Programm ein, mit dem verschiedene Arten von Informationen gestohlen werden können. Die Malware imitiert beliebte Applikationen, die gewöhnlich im Hintergrund laufen, vor, darunter Dateiinformationen, Icons und sogar die Dateigröße.

Das neue Haupt-Backdoor von Miniduke – auch TinyBaron oder CosmicDuke genannt – nutzt ein anpassbares Programmiergerüst (Framework) namens BotGenStudio, das flexibel Komponenten an- und ausschalten kann, wenn die Schadsoftware erzeugt wird. Die Komponenten zeichnen sich durch drei Eigenschaften aus.

• >> Langlebigkeit: Miniduke/CosmicDuke ist in der Lage, über das Programm Windows Task Scheduler einen Service individuell zu starten. So kann ein neuer Prozess in einem speziellen Registrierungsschlüssel erzeugt oder ausgeführt werden, wenn der Nutzer nicht am Platz ist und der Bildschirmschoner aktiv ist.

• >> Aufklärungsauftrag: Die Malware kann verschiedene Informationen stehlen, inklusive Dateien mit den folgenden Endungen und Dateierweiterungen: *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *psw*; *pass*; *login*; *admin*; *vpn; *.jpg; *.txt; *.lnk; *.dll; *.tmp. etc.

Das Backdoor kann darüber hinaus als Keylogger und Spähdienst zur Durchsuchung des Netzwerks eingesetzt werden. Daneben ist es in der Lage, Screenshots anzufertigen sowie Daten aus der Zwischenablage zu durchstöbern. Zudem kann es Informationen aus Microsoft Outlook oder dem Windows-Adressbuch sowie Passwörter für Skype, Google Chrome, Google Talk, Opera, TheBat!, Firefox, und Thunderbird entwenden. Auch das Sammeln von Geheimnissen aus verschlüsselten Containern und das Exportieren von digitalen Zertifikaten oder privaten Schlüsseln stellt für die neue Miniduke-Version kein Problem dar.

• >> Exfiltration: Die Malware implementiert unterschiedliche Arten von Netzanbindungen, um gesammelte Daten erfolgreich exfiltrieren zu können – darunter den Upload via FTP und drei verschiedene HTTP-Kommunikationsmechanismen.

Ein weiteres interessantes Feature ist das Speichern von herausgefilterten Daten. Wird eine Datei auf einen Command-and-Control-Server (C&C-Server) hochgeladen, wird diese in zwei kleine Stücke (~3Kb) geteilt, die anschließend komprimiert, verschlüsselt und in einem Container abgelegt und auf den Server hochgeladen werden können. Ist die Datei groß genug, kann sie in verschiedene, unterschiedliche Container platziert werden, die unabhängig hochgeladen werden. Durch diese Mechanismen wird gewährleistet, dass nur wenige Forscher Zugang zu den Originaldaten haben werden.

Einzigartige Features
Jedes von Miniduke anvisierte Opfer erhält eine einzigartige ID. So können spezielle Updates an ein einzelnes Opfer ausgeliefert werden.

Zum eigenen Schutz nutzt das Schadprogramm ein angepasstes verschleiertes Ladeprogramm, das erhebliche CPU-Ressourcen verbraucht, bevor die Schadfunktionen ausgeführt werden. Auf diese Weise werden Anti-Malware-Lösungen daran gehindert, die Malware zu analysieren und via Emulatoren schädliche Funktionen zu entdecken. Zudem wird die Analyse der Malware erschwert.

Doppelfunktion der C&Cs
Während ihrer Analyse erhielten die Kaspersky-Experten eine Kopie eines von Miniduke genutzten C&C-Servers. So kam heraus, dass dieser nicht nur für die Kommunikation zwischen den Hintermännern von CosmicDuke und den infizierten PCs zuständig war, sondern auch für andere Operationen, die von den Gruppenmitgliedern durchgeführt wurden, zum Beispiel das Hacken weiterer Internetserver mit dem Ziel, jegliche Informationen zu sammeln, die zu potenziellen Zielen führen könnten. Dafür wurde der C&C-Server mit einer Reihe von öffentlich verfügbaren Hacking-Tools ausgestattet, um nach Schwachstellen auf Webseiten zu suchenund um diese zu kompromittieren. (Kaspersky Lab: ra)

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Hybride aus Daten-Diebstahl und Ransomware

    SophosLabs und Sophos Managed Threat Response haben einen Bericht über eine neue Ransomware veröffentlicht, die eine bisher noch nicht bekannte Angriffsmethode verwendet: Die sogenannte Snatch-Ransomware geht mit variierenden Techniken vor und veranlasst unter anderem einen Neustart übernommener Computer im abgesicherten Modus, um verhaltensorientierte Schutzmaßnahmen, die speziell nach Ransomware-Aktivitäten wie das Verschlüsseln von Dateien Ausschau halten, zu umgehen. Sophos geht davon aus, dass Cyberkriminelle damit eine neue Angriffstechnik etabliert haben, um fortschrittliche Schutzmechanismen auszuhebeln. Neben der neuen Angriffstaktik belegt ein weiterer interessanter Fund, dass sich ein anderer Trend fortzusetzen scheint: Kriminelle filtern immer häufiger Daten heraus, bevor die eigentliche Ransomware-Attacke startet. Die entwendeten Daten könnten zu einem späteren Zeitpunkt für Erpressungen, auch in Zusammenhang mit der DSGVO, verwendet werden. Ähnliches Verhalten konnten die SophosLabs zum Beispiel bei Ransomware-Gruppen wie Bitpaymer feststellen.

  • Windows-Zero-Day-Exploit zur Rechteausweitung

    Kaspersky-Technologien haben eine Zero-Day-Schwachstelle im Windows-Betriebssystem gefunden. Der darauf basierende Exploit ermöglichte es Angreifern, höhere Privilegien auf dem attackierten Gerät zu erlangen und Schutzmechanismen im Google Chrome Browser zu umgehen - wie es in der WizardOpium-Kampagne geschah. Ein Patch wurde bereits veröffentlicht. Die neue Windows-Schwachstelle wurde von Kaspersky-Forschern aufgrund eines anderen Zero-Day-Exploits gefunden. Bereits im vergangenen November hatten die Exploit-Prevention-Technologien, die in den meisten Produkten des Unternehmens integriert sind, einen Zero-Day-Exploit in Google Chrome gefunden. Dieser Exploit ermöglichte es den Angreifern, beliebigen Code auf dem Computer des Opfers ausführen. Im Rahmen weiterer Untersuchungen dieser Kampagne, die die Experten WizardOpium tauften, wurde nun der Exploit im Windows-Betriebssystem gefunden.

  • Phishing ist ein langfristiges Problem

    Akamai Technologies hat den "State of the Internet"-Sicherheitsbericht 2019 "Phishing - Baiting the hook" veröffentlicht. Die Forschungsergebnisse zeigen, dass Cyberkriminelle unternehmensbasierte Entwicklungs- und Bereitstellungsstrategien wie Phishing-as-a-Service nutzen, um die größten Technologiekonzerne der Welt anzugreifen. Knapp 43 Prozent der beobachteten Domains zielten auf Microsoft, PayPal, DHL und Dropbox ab. Der Bericht legt offen, dass Phishing nicht mehr nur eine E-Mail-basierte Bedrohung ist, sondern auch Social Media und mobile Geräte umfasst. Es handelt sich um ein weitreichendes Problem, das alle Branchen betrifft. Da sich die Angriffsmethoden weiterentwickeln, entstehen neue Techniken, etwa für Attacken auf geschäftliche E?Mails (Business E?Mail Compromise, BEC). Laut dem FBI führten BEC-Angriffe zwischen Oktober 2013 und Mai 2018 zu weltweiten Verlusten von mehr als 12 Milliarden US-Dollar.

  • Ziel des Angriffs kann sogar geblacklisted werden

    Im Laufe des Jahres 2019 haben das Threat Research Center (TRC) und das Emergency Response Team (ERT) von Radware eine zunehmende Anzahl von TCP-Reflection-Angriffen überwacht und verteidigt. Bei solchen Angriffen werden nicht nur die eigentlichen Ziele in Mitleidenschaft gezogen, sondern auch nichts ahnende Netzwerkbetreiber, deren Ressourcen benutzt werden, um die Attacke zu verstärken. Im Extremfall wird das Ziel des Angriffs als vermeintlicher Urheber der Attacke sogar von den einschlägigen Service-Anbietern auf deren Blacklists gesetzt. TCP-Reflection-Angriffe wie die SYN-ACK Reflection waren bis vor kurzem bei Angreifern weniger beliebt. Der Mangel an Popularität war hauptsächlich auf die falsche Annahme zurückzuführen, dass TCP-Reflection-Angriffe im Vergleich zu UDP-basierten Reflexionen nicht genügend Verstärkung erzeugen können. Im Allgemeinen haben TCP-Angriffe eine geringe Bandbreite und die Wahrscheinlichkeit ist geringer, dass eine Internetverbindung gesättigt wird. Stattdessen werden TCP-Angriffe genutzt, um durch hohe Paketraten (Packets Per Second - PPS) viele Ressourcen von Netzwerkgeräten zu binden und so Ausfälle zu provozieren.

  • Sicherheitsprognosen für 2020

    Die Sicherheitsforscher von Malwarebytes geben ihre Sicherheitsprognosen für das Jahr 2020 bekannt. Dabei prognostizieren die Experten zunehmende Gefahren für Unternehmen durch Ransomware-Angriffe, erwarten vermehrt Exploit-Kit-Aktivitäten und VPN-Skandale. Im Folgenden werden sechs Sicherheitsprognosen vorgestellt und in die Entwicklungen der jüngsten Zeit eingeordnet. Ransomware-Angriffe auf Unternehmen und Regierungen werden dank neu gefundener Schwachstellen zunehmen. Bereits in den vergangenen beiden Jahren konnte im Business-Umfeld ein Anstieg von Schwachstellen festgestellt werden und gerade in diesem Jahr wurde immer mehr Malware entwickelt, die sich auf Unternehmen konzentriert anstatt auf Verbraucher.

Malware an ahnungslose Besucher ausliefern Remote Access Tools/RATs