Aktuelles, Branche - geschrieben von dp am Montag, Juli 15, 2019 22:50 - noch keine Kommentare
Turla: Hacker-Gruppe versteckt Schadprogramm
Komplexes Spionage-Tool in Zensur-Umgehungssoftware verborgen
[datensicherheit.de, 15.07.2019] „Turla“, ein russischsprachiger Bedrohungsakteur, hat laut kaspersky sein Portfolio an Bedrohungswerkzeugen umfassend modifiziert: Die Hacker-Gruppe habe ihre bekannte „JavaScript-KopiLuwak“-Malware um einen neuen Dropper namens „Topinambour“ erweitert, der von Cybersecurity-Experten in zwei ähnlichen Versionen und in anderen Sprachen identifiziert worden sei. Diese Malware werde jetzt unter anderem über infizierte Software-Installationspakete zur Umgehung von Internetzensur verbreitet. Die Sicherheitsexperten glauben, dass diese Maßnahmen darauf abzielten, das Erkennungsrisiko ihrer Schadprogramme zu minimieren und die Auswahl idealer Zielopfer zu präzisieren. „Topinambour“ sei Anfang 2019 bei einer Kompromittierungsaktion gegen Regierungsstellen entdeckt worden.
Infographik: „Topinambour“-Infektionsprozess
Turla: Äußerst innovative Hacker-Gruppe
Bei „Turla“ handele es sich um einen bekannten russischsprachigen Bedrohungsakteur, der sich auf Cyber-Spionageaktivitäten gegen staatliche und diplomatische Ziele spezialisiert habe. Diese Gruppe gelte als äußerst innovativ und sei durch ihre charakteristische „KopiLuwak“-Malware – erstmals Ende 2016 beobachtet – bekannt geworden.
2019 haben nun kaspersky-Forscher nach eigenen Angaben neue, von „Turla“ entwickelte Tools und Techniken entdeckt, mit denen der Tarnungsgrad ihrer Malware erhöht und infolgedessen die Erkennungswahrscheinlichkeit minimiert werde.
„Topinambour“ (benannt nach dem Gemüse Topinambur) sei eine neue, von „Turla“ verwendete „.NET-Datei“, um das JavaScript „KopiLuwak“ mittels infizierter Installationspakete für legitime Softwareprogramme (etwa VPNs zur Umgehung von Internetzensur) zu streuen.
Cyber-Kriminelle reduzieren Erkennungsrisiko
„KopiLuwak“ sei zum Zwecke der Cyber-Spionage konzipiert worden und „Turlas“ neu entwickelter Infektionsprozess beinhaltee Funktionalitäten, die der Malware helfen würden, eine Erkennung zu vermeiden.
So verfüge etwa die Command-and-Control-Infrastruktur über IPs, die gewöhnliche LAN-Adressen imitierten. Darüber hinaus agiere diese Malware fast vollständig „fileless“. Die letzte Phase des Infektionsprozesses, bei der ein verschlüsselter Trojaner die Fernverwaltung übernehme, sei komplett in die Registry des Computers eingebettet. Die Malware könne, sobald sie bereit ist, auf diese zugreifen.
Die beiden neu entdeckten „KopiLuwak“-Versionen, der „.NET-RocketMan“-Trojaner und der „PowerShell-MiamiBeach“-Trojaner seien ebenfalls für Cyber-Spionage konzipiert. Die kaspersky-Forscher sind der Ansicht, dass diese Varianten „gegen Ziele mit installierter Sicherheitssoftware eingesetzt werden, die in der Lage ist, ,KopiLuwak‘-Trojaner zu erkennen“. Nach erfolgreicher Installation seien alle drei Versionen in der Lage:
- Die individuellen Spezifika (Fingerprint targets) infizierter Zielrechner umfassend zu analysieren.
- Gespeicherte Informationen über System- und Netzwerkadapter zu sammeln.
- Daten zu stehlen.
- Zusätzliche Malware herunter zu laden und auszuführen.
„MiamiBeach“ darüber hinaus fähig, Screenshots zu machen
„In diesem Jahr zeigt sich ,Turla‘ mit überarbeitetem Toolset an Schadprogrammen und mit mit einer Reihe neuer Funktionen, die eine Erkennung durch Sicherheitslösungen und Forscher erschweren. Dazu gehören eine Reduzierung des digitalen Fingerabdrucks der Malware und zwei neue, nach ähnlichem Design konzipierte Versionen der bekannten ,KopiLuwak‘-Malware“, erläutert Kurt Baumgartner, leitender Sicherheitsforscher bei kaspersky.
„Der Missbrauch von Installationspaketen für VPN-Software, die Internetzensur umgehen können, deutet darauf hin, dass sich die Angreifer klar definierte Cyber-Spionageziele für diese Tools gesetzt haben“, so Baumgartner. Die kontinuierliche Weiterentwicklung des „Turla“-Portfolios unterstreiche die Notwendigkeit, Threat-Intelligence-Lösungen und geeignete Sicherheitssoftware einzusetzen, die vor den neuesten Tools und Techniken von APTs (Advanced Persistence Threats) schützen.
Beispielsweise würde ein Endpunktschutz und die Überprüfung von Datei-Hashes nach dem Herunterladen von Installationssoftware helfen, um sich vor Bedrohungen wie „Topinambour“ entsprechend zu schützen.
kaspersky-Tipps für mehr Sicherheit vor komplexen Gefahren:
Um das Risiko zu verringern, Opfer komplexer Cyber-Spionageoperationen zu werden, empfiehlt Kaspersky folgende Maßnahmen:
- IT-Security-Schulungen für Unternehmensmitarbeiter, um das Sicherheitsbewusstsein zu stärken und potenziell schädliche Anwendungen oder Dateien zu erkennen und zu vermeiden. So sollten Mitarbeiter beispielsweise keine Anwendungen oder Programme aus nicht vertrauenswürdigen oder unbekannten Quellen herunterladen und starten.
- Implementierung einer EDR-Lösung (wie z.B. „Kaspersky Endpoint Detection and Response“) zur Erkennung, Untersuchung und rechtzeitigen Behebung von Vorfällen auf Endpoint-Ebene.
- Integration einer unternehmensweiten Sicherheitslösung, die komplexe Bedrohungen auf Netzwerkebene frühzeitig erkennt (etwa die „Kaspersky Anti Targeted Attack Platform“).
- Permanenter Zugang des „Security Operation Center“ (SOC) auf aktuelle Bedrohungsinformationen, um über die neuen und aufkommenden Tools, Techniken und Taktiken von Cyber-Kriminellen auf dem Laufenden zu bleiben.
Weitere Informationen zum Thema:
kaspersky SECURELIST, 15.07.2019
Turla renews its arsenal with Topinambour
kaspersky SECURELIST, 02.02.2017
KopiLuwak: A New JavaScript Payload from Turla
kaspersky
Kaspersky Security Awareness
datensicherheit.de, 29.05.2019
Turla: Neue Angriffswerkzeuge der Spionagegruppe enttarnt
datensicherheit.de, 20.03.2017
KASPERSKY lab warnt: IT-Sicherheitsbranche übersieht potenzielle Nachwuchskräfte
Aktuelles, Experten - Nov 28, 2024 19:24 - noch keine Kommentare
Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
weitere Beiträge in Experten
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
- Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
- Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an
- Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
Aktuelles, Branche - Nov 28, 2024 19:24 - noch keine Kommentare
Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf
weitere Beiträge in Branche
- IT-Defense: Nächste Auflage vom 12. bis 14. Februar 2025 in Leipzig
- Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen
- Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit
- Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren