[datensicherheit.de, 14.03.2025] Forscher des europäischen IT-Sicherheitsherstellers ESET haben eine äußerst gefährliche Sicherheitslücke (CVE-2025-24983) in älteren Versionen von Microsoft Windows entdeckt. Eine Schwachstelle im Code erlaubte die Ausführung eines Zero-Day-Exploits. Darunter verstehen Experten ein Schadprogramm, das ungepatchte Sicherheitslücken ausnutzt. Für einen erfolgreichen Angriff musste der Computer des Opfers bereits mit einer Backdoor infiziert sein. Im Falle einer Kompromittierung erhielten Hacker weitreichende Zugriffsrechte auf das betroffene System. Microsoft hat die Lücke sofort nach Bekanntwerden geschlossen.

Ursache: Unsachgemäße Speichernutzung

„Die Schwachstelle hängt mit einer unsachgemäßen Speichernutzung während des Softwarebetriebs zusammen“, erklärt ESET-Forscher Filip Jurčacko, der den Zero-Day-Exploit entdeckt hat. „Auf kompromittierten Computern konnten Hacker hierdurch eigenen Code ausführen und verheerenden Schaden anrichten.“

Betroffene Windows-Versionen

• Vor allem Nutzer veralteter Windows-10-Versionen konnten betroffen sein: Die Sicherheitslücke, die der Exploit ausnutzte, kam in Versionen vor Windows 10 Build 1809 vor. Diese Version ist schon einige Jahre alt. Deshalb dürften vor allem Anwender mit älteren Computern in Gefahr gewesen sein, die zudem seit längerem nicht mehr aktualisiert wurden. Auch Nutzer des schon lange nicht mehr unterstützten Windows 8.1 gehörten zur betroffenen Gruppe.
• Da die Sicherheitslücke auch in Windows Server 2016 auftrat, konnte sie auch Unternehmen gefährden. Das Serverbetriebssystem wird von Microsoft noch bis Januar 2027 mit Sicherheitsupdates versorgt.

Experten empfehlen schnellstmöglichen Wechsel auf aktuelles Betriebssystem

Von der aktuellen Sicherheitslücke waren hauptsächlich ältere Versionen von Microsoft betroffen. Aber auch Nutzer, die eine aktuelle Windows-10-Version nutzen, sollten so schnell wie möglich auf Windows 11 wechseln oder sich nach alternativen, sicheren Betriebssystemen umschauen: Im Oktober endet der kostenlose Support für Windows 10. Das bedeutet, dass es keine weiteren kostenlosen Sicherheitsupdates mehr geben wird. Nutzer, die nicht auf Microsofts kostenpflichtigen erweiterten Update-Service zurückgreifen, laufen somit Gefahr, Opfer eines Cybervorfalls zu werden.

Weitere Informationen zum Thema:

Microsoft
Microsoft stellt einen Leitfaden zur Verfügung, der Nutzern betroffener Systeme hilfreiche Informationen zur Sicherheitslücke und dem Patch liefert

datensicherheit.de, 04.12.2020
Schwachstellenmanagement: Erkennung und Reaktion

[datensicherheit.de, 05.03.2025] IT-Security-Experten von Proofpoint haben nach eigenen Angaben eine neuartige und hochgradig verschleierte „Backdoor“-Malware entdeckt und „Sosano“ genannt. Diese Schadsoftware nutzt demnach fortschrittliche polyglotte Malware-Techniken, um ihre „Payload“ zu verschleiern und unbemerkt in Zielsysteme einzudringen.

Malware kam im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz

Diese Malware sei im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz gekommen, bei der die Angreifer kompromittierte E-Mail-Konten und maßgeschneiderte Nachrichten genutzt hätten, um das Vertrauen der Empfänger zu gewinnen. „Die Cyber-Kriminellen nutzen ZIP-Dateien, die wiederum polyglotte Dateien enthielten, um den bösartigen Inhalt zu verschleiern und die Erkennung zu erschweren.“ Polyglotte Dateien seien so strukturiert, dass sie von verschiedenen Programmen unterschiedlich interpretiert werden könnten, was den Angreifern eine effektive Tarnung schädlicher Komponenten ermögliche.

„In diesem Fall kombinierten die Angreifer die Dateiformate XLS und PDF, um die Malware auszuführen und die Tarnung zu verstärken. Diese Technik unterstreicht die hohe Kompetenz der Cyber-Kriminellen bei der Entwicklung von Schadsoftware.“ Die Angriffskette beginne mit einer manipulierten LNK-Datei, welche ein Skript ausführe, um polyglotte Dateien zu laden, welche schließlich eine schädliche „Payload“ installierten. Die in „Golang“ geschriebene Malware ermögliche es den Angreifern, über einen sogenannten Command-and-Control-Server (C2-Server) Befehle auszuführen, Daten zu stehlen und zusätzliche Schadsoftware herunterzuladen. Ein weiteres bemerkenswertes Detail sei die absichtliche Inflation des Codes der Malware mit unnötigen „Golang“-Bibliotheken, „die nicht zur Ausführung kommen, um die Analyse der Software weiter zu erschweren“.

Verschleierungsmethoden helfen beim Verbergen der Malware, um Zugriff auf Kritische Systeme zu erlangen

Die hochentwickelte Technik der polyglotten Malware und der gezielte Ansatz der Kampagne stellten eine ernsthafte Bedrohung für Unternehmen dar. Die Verwendung solcher Verschleierungsmethoden, um Malware zu verbergen und langfristigen Zugriff auf Kritische Systeme zu erlangen, zeige die Raffinesse moderner Bedrohungsakteure.

Proofpoint empfiehlt Unternehmen, „ihre Sicherheitsvorkehrungen zu verstärken, um solche fortgeschrittenen Angriffe zu verhindern“. Dazu gehörten die kontinuierliche Überwachung von Netzwerken, die Schulung von Mitarbeitern in der Erkennung von Phishing-Versuchen und der Einsatz solch fortschrittlicher Malware-Erkennungstools, „die auch gegen verschleierte ,Payloads’ wirksam sind“.

Weitere Informationen zum Thema:

proofpoint, Joshua Miller & Kyle Cucci & Proofpoint Threat Research Team, 04.03.2025
Call It What You Want: Threat Actor Delivers Highly Targeted Multistage Polyglot Malware

[datensicherheit.de, 30.12.2024] Die „Operation DreamJob“ der cyber-kriminellen „Lazarus“-Gruppe entwickelt sich nach Erkenntnissen des „Global Research and Analysis Team“ (GReAT) bei Kaspersky mit neuen ausgefeilten Taktiken weiter: Zu den jüngsten Opfern gehören demnach Mitarbeiter eines mit der Nuklearindustrie in Verbindung stehenden Unternehmens. „Sie wurden über drei kompromittierte Archivdateien infiziert, die den Anschein erwecken, als seien sie Tests zur Bewertung der Fähigkeiten von IT-Fachleuten.“ Diese laufende Kampagne nutze eine Reihe fortschrittlicher Schadprogramme, darunter eine neu entdeckte modulare sogenannte Backdoor, „CookiePlus“, welche als Open-Source-Plugin getarnt gewesen sei.

Aktueller Kaspersky-Bericht bietet neue Einblicke in jüngste Phase der „Lazarus“-Aktivitäten und enthüllt eine -Kampagne

GReAT von Kaspersky habe eine neue Kampagne entdeckte, welche mit der berüchtigten „Operation DreamJob“ in Verbindung stehe (auch bekannt als „DeathNote“) – ein Cluster wiederum, welcher mit der berüchtigten „Lazarus“-Gruppe in Verbindung stehe. Im Laufe der Jahre habe sich diese Kampagne erheblich weiterentwickelt und im Jahr 2019 mit Angriffen auf weltweite Unternehmen begonnen, „die mit ,Krypto-Währungen’ zu tun haben“.

Im Laufe des Jahres 2024 habe sich diese ausgeweitet und ziele nun auf IT- und Verteidigungsunternehmen in Europa, Lateinamerika, Südkorea und Afrika ab. Der aktuelle Kaspersky-Bericht, „Lazarus group evolves its infection chain with old and new malware“, biete neue Einblicke in die jüngste Phase ihrer Aktivitäten und enthülle eine Kampagne, welche auf Mitarbeiter desselben Unternehmens im Nuklearbereich in Brasilien sowie auf Mitarbeiter einer nicht identifizierten Branche in Vietnam abgezielt habe.

Im Laufe eines Monats mindestens zwei Mitarbeiter desselben Unternehmens von „Lazarus“ angegriffen

„Im Laufe eines Monats wurden mindestens zwei Mitarbeiter desselben Unternehmens von ,Lazarus’ angegriffen. Sie erhielten mehrere Archivdateien, die als Qualifikationsbeurteilungen für IT-Positionen bei bekannten Luftfahrt- und Verteidigungsunternehmen getarnt waren.“ „Lazarus“ habe das erste Archiv zunächst an die Hosts A und B innerhalb desselben Unternehmens übermittelt und nach einem Monat versucht, aggressivere Angriffe auf das erste Ziel durchzuführen. „Wahrscheinlich nutzten sie Job-Suchplattformen wie ,LinkedIn’, um die ersten Anweisungen zu übermitteln und Zugang zu den Zielpersonen zu erhalten.“

„Lazarus“ habe seine Verbreitungsmethoden weiterentwickelt und die Persistenz durch eine komplexe Infektionskette verbessert, an der verschiedene Arten von Malware beteiligt seien, „z.B. ein ,Downloader’, ein ,Loader’ und eine ,Backdoor’“. Sie starteten laut Kaspersky einen mehrstufigen Angriff, „bei dem sie trojanisierte VNC-Software, einen Remote-Desktop-Viewer für ,Windows’ und ein weiteres legitimes VNC-Tool zur Verbreitung von Malware verwendeten“.

„Lazarus“ hat unsichtbare plugin-basierte Hintertür eingesetzt: „CookiePlus“

„In der ersten Phase wurde eine trojanisierte ,AmazonVNC.exe’ entschlüsselt und ein ,Downloader’ namens ,Ranid Downloader’ ausgeführt, um interne Ressourcen der VNC-Datei zu extrahieren.“ Ein zweites Archiv habe eine bösartige Datei „vnclang.dll“ enthalten, welche die „MISTPEN“-Malware geladen habe, die dann wiederum weitere Nutzdaten abgerufen habe, darunter „RollMid“ und eine neue Variante von „LPEClient“.

Außerdem hätten sie eine unsichtbare plugin-basierte Hintertür eingesetzt, welche von den „GReAT“-Experten als „CookiePlus“ bezeichnet worden sei. „Sie war als ,ComparePlus’ getarnt, ein Open-Source-Plugin für ,Notepad++‘. Sobald die Malware eingerichtet ist, sammelt sie Systemdaten, einschließlich des Computernamens, der Prozess-ID und der Dateipfade, und lässt ihr Hauptmodul für eine bestimmte Zeit ,schlafen’.“ Außerdem passe sie ihren Ausführungszeitplan an, indem sie eine Konfigurationsdatei ändere.

Neue „Lazaruzs“-Malware kann Systemprozesse manipulieren

„Es bestehen erhebliche Risiken, einschließlich Datendiebstahl, da ,Operation DreamJob’ sensible Systeminformationen sammelt, die für Identitätsdiebstahl oder Spionage verwendet werden könnten“, kommentiert Sojun Ryu, GReAT-Sicherheitsexperte bei Kaspersky.. Die Fähigkeit dieser Malware, ihre Aktionen zu verzögern, ermögliche es ihr, sich der Entdeckung im Moment des Eindringens zu entziehen und länger auf dem System zu verbleiben.

„Indem sie bestimmte Ausführungszeiten festlegt, kann sie in Intervallen operieren, die möglicherweise nicht bemerkt werden.“ Darüber hinaus könne diese Malware Systemprozesse manipulieren, was ihre Entdeckung erschwere und möglicherweise zu weiteren Schäden oder zur Ausnutzung des Systems führe.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, Vasily Berdnikov & Sojun Ryu, 19.12.2024
Lazarus group evolves its infection chain with old and new malware

SECURELIST by Kaspersky, Seongsu Park, 12.04.2023
Following the Lazarus group by tracking DeathNote campaign

github.com
pnedev / comparePlus

datensicherheit.de, 23.10.2024
Lazarus stahl Krypto-Währungen mittels Spyware: Kaspersky warnte Google vor Zero-Day-Exploit in Chrome / Nach Kaspersky-Erkenntnissen konnte der Bedrohungsakteur eine aufwändige und glaubwürdige Fälschung eines „NFT Games“ zur Ausnutzung der Schwachstelle erstellen

datensicherheit.de, 26.01.2023
Harmony-Hack: FBI hat Lazarus im Verdacht / Hinter dem Cyber-Angriff auf die Krypto-Bridge Horizon im Juni 2022 soll die Lazarus-Gruppe (APT38) stecken

datensicherheit.de, 16.11.2022
Lazarus nutzt DTrack: APT-Akteur greift Unternehmen in Deutschland an / Backdoor-Angriffe mit DTrack auf zwei Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifiziert

[datensicherheit.de, 21.11.2024] ESET-Forscher haben nach eigenen Angaben zwei neue sogenannte Backdoors in „Linux“ entdeckt, „die wahrscheinlich von der china-nahen Hacker-Gruppe ,Gelsemium’ stammen“. Die Entdeckung sei nach der Analyse von Archiven erfolgt, welche im Jahr 2023 auf Googles Online-Dienst „Virus Total“ hochgeladen worden seien. „Die Dateien wurden von Servern in Taiwan, den Philippinen und Singapur eingespeist, was auf Vorfälle in diesen Regionen hindeutet.“ Die Schadprogramme mit den Namen „WolfsBane“ und „FireWood“ dienten der Cyber-Spionage, indem sie sensible Daten wie Systeminformationen, Anmeldedaten und Dateien unbemerkt sammelten.

Abbildung: ESET

„Linux“ im Visier: Ausführungsprozess von „WolfsBane“ lt. ESET-Erkentnnissen

Cyber-Kriminelle erwägen neue Angriffsmöglichkeiten und attackieren „Linux“

Während „Wolfsbane“ sich zweifellos „Gelsemium“ zuordnen lasse, könne ESET „FireWood“ allerdings nicht gesichert dieser Gruppe zuschreiben, da die Beweise für eine direkte Verbindung nicht eindeutig seien. „Professionelle Hacker fokussieren sich stärker auf ,Linux’-Systeme – das ist eine besorgniserregende Entwicklung“, betont ESET-Forscher Viktor Šperka, welcher diese Analysen durchgeführt habe.

Šperka führt hierzu aus: „Der Grund dafür sind vor allem verbesserte Sicherheitslösungen für ,Windows’-Systeme und die Deaktivierung von VBA-Makros. Dies führt dazu, dass Cyber-Kriminelle neue Angriffsmöglichkeiten abwägen. ,Linux’ rückt dabei immer stärker in den Fokus.“

„Linux“ gerät verstärkt ins Fadenkreuz bei Cyber-Angriffen

Die Analysen enthüllten demnach die ausgefeilte Technik der beiden Backdoors: „WolfsBane“ sei eine „Linux“-Version der bekannten „Windows“-Schadsoftware „Gelsevirine“ und nutze Rootkits, um ihre Aktivitäten zu verschleiern. Ein sogenanntes Rootkit sei eine Schadsoftware, welche es Cyber-Kriminellen ermögliche, sich unbemerkt Zugang zu Computern zu verschaffen und deren Daten zu infiltrieren.

„FireWood“ hingegen zeige Verbindungen zu einer älteren, aber ständig weiterentwickelten Backdoor namens „Project Wood“, welche ebenfalls von „Gelsemium“ genutzt worden sei. „Die Forscher konnten die Spuren der Schadsoftware bis ins Jahr 2005 zurückverfolgen.“ Beide Backdoors seien so konzipiert worden, dass sie unbemerkt blieben und eine langfristige Kontrolle über kompromittierte Systeme ermöglichten.

Entdeckung zeigt, wie wichtig umfassender Schutz auch für „Linux“-Systeme ist

„ESET entdeckte die bösartige Software in Archiven, die von Taiwan, den Philippinen und Singapur auf ,Virus Total’ hochgeladen wurden.“ Dies deute darauf hin, dass die Proben im Rahmen von Vorfällen auf einem kompromittierten Server entdeckt worden sei. „Die betroffenen Systeme waren vorwiegend ,Linux’-Server, die Hacker vermutlich durch Sicherheitslücken in Webanwendungen erfolgreich angreifen konnten.“ Die Archive hätten auch mehrere Werkzeuge enthalten, die einem Angreifer die Fernsteuerung kompromittierter Server ermöglichten.

Die Entdeckung dieser neuen Werkzeuge zeige, „wie wichtig ein umfassender Schutz für ,Linux’-Systeme geworden ist“. Unternehmen und Behörden sollten ihre Sicherheitsmaßnahmen überdenken und verstärkt auf Sicherheitsupdates, Intrusion-Detection-Systeme und regelmäßige Sicherheitsaudits setzen.

Weitere Informationen zum Thema:

welivesecurity by eset, Viktor Šperka, 21.11.2024
ESET Research / Unveiling WolfsBane: Gelsemium’s Linux counterpart to Gelsevirine / ESET researchers analyzed previously unknown Linux backdoors that are connected to known Windows malware used by the China-aligned Gelsemium group, and to Project Wood

[datensicherheit.de, 16.11.2022] Der berüchtigte APT-Akteur (Advanced Persistent Threat – fortgeschrittene andauernde Bedrohung) „Lazarus“ weitet laut einer aktuellen Kaspersky-Warnung seine Angriffe aus und hat demnach nun Unternehmen in Europa, darunter in Deutschland und in der Schweiz im Visier: Kaspersky-Experten hätten Angriffe mit der sogenannten DTrack-Backdoor auf zwei deutsche Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifizieren können sowie einen auf ein Schweizer Unternehmen in der chemischen Verarbeitung.

Bereits zwei Angriffe in Deutschland mit DTrack als Backdoor identifiziert

„Lazarus“ sei mindestens seit dem Jahr 2009 aktiv und werde für Angriffe mittels Cyber-Spionage, -sabotage und Ransomware verantwortlich gemacht. „Ursprünglich konzentrierte sich die Gruppe auf die Umsetzung einer scheinbar geopolitischen Agenda, die sich hauptsächlich auf Südkorea konzentrierte. Allerdings ist sie zu globalen Zielen übergegangen und hat begonnen, auch Angriffe zur finanziellen Bereicherung zu starten.“

Derzeit richteten sich die Angriffe auch gegen Unternehmen in Europa. „Dabei konnten die Kaspersky-Experten zwei Angriffe in Deutschland identifizieren, bei denen ,DTrack’ als ,Backdoor’ eingesetzt wurde: einen auf ein Unternehmen in der chemischen Verarbeitung und einen in der Fertigungswirtschaft. Weiterhin konnte ein Angriff auf ein Schweizer Unternehmen in der chemischen Verarbeitung ausgemacht werden.“

Nicht wesentlich veränderte Backdoor DTrack

„DTrack“ sei ursprünglich im Jahr 2019 entdeckt worden und habe sich im Laufe der Zeit nicht wesentlich verändert. Diese „Backdoor“ verstecke sich in einer ausführbaren Datei, „die wie ein legitimes Programm aussieht“. Es gebe mehrere Phasen der Entschlüsselung, bevor die sogenannte Malware-Payload startet. Neu sei eine zusätzliche dritte Verschlüsselungsebene, welche in einigen der neuen Malware-Samples hinzugefügt worden sei.

Kaspersky-Analysen zeigten, „dass ,Lazarus’ diese ,Backdoor’ für eine Vielzahl von Angriffen mit der Zielsetzung finanziellen Gewinns verwendet“. Sie ermögliche es Cyber-Kriminellen, Dateien auf dem Host des Opfers hochzuladen, herunterzuladen, zu starten oder zu löschen. Eine der heruntergeladenen und ausgeführten Dateien – bereits als Teil des üblichen „DTrack-Toolsets“ entdeckt – sei ein Keylogger sowie ein Screenshot-Ersteller und ein Modul zum Sammeln von Systeminformationen des Opfers. Insgesamt könne ein solches „Toolset“ Cyber-Kriminellen dabei helfen, laterale Bewegungen in der Infrastruktur der Opfer durchzuführen, um beispielsweise Informationen abzurufen.

DTrack in Deutschland, Brasilien, Indien, Italien, Mexiko, der Schweiz, Saudi-Arabien, der Türkei und den USA aktiv

„Laut KSN-Telemetrie ist DTrack in Deutschland, Brasilien, Indien, Italien, Mexiko, der Schweiz, Saudi-Arabien, der Türkei und den USA aktiv. ,Lazarus’ weitet damit also seine Viktimologie aus.“ Zu den anvisierten Unternehmen gehörten Teile der Kritischen Infrastrukturen wie Bildungseinrichtungen, Unternehmen in der chemischen Verarbeitung, staatliche Forschungszentren und Ministerien, IT-Dienstleister, Versorgungsunternehmen und Telekommunikation.

„,DTrack’ wird nach wie vor aktiv von ,Lazarus’ genutzt“, berichtet Jornt van der Wiel, Sicherheitsexperte im „Global Research and Analysis Team“ (GReAT) bei Kaspersky. Er führt aus: „Änderungen, die an der Art und Weise vorgenommen wurden, wie die Malware gepackt wird, zeigen, dass ,Lazarus’ ,DTrack’ immer noch einen hohen Stellenwert einräumt. Trotzdem hat ,Lazarus’ seit 2019, als sie ursprünglich entdeckt wurde, nicht viel daran geändert. Allerdings zeigt die Analyse der Viktimologie, dass die Operationen auf Europa ausgeweitet wurden, ein Trend, den wir häufiger sehen.“

Kaspersky-Empfehlungen zum Schutz vor Malware wie DTrack:

• Software zur Überwachung des Datenverkehrs einsetzen (z.B. „Kaspersky Anti Targeted Attack Platform“)!
• Umfassende Sicherheitslösung mit verhaltensbasierten Erkennungstechnologien verwenden (z.B. „Kaspersky Endpoint Detection and Response“), welche Angriffe frühzeitig erkennt und blockiert!
• Regelmäßig Sicherheitsüberprüfungen der IT-Infrastruktur des Unternehmens durchführen!
• Mitarbeiter mit Sicherheitstrainings für den Umgang mit Bedrohungen sensibilisieren (wie z.B. mit „Kaspersky Security Awareness“).

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 15.11.2022
DTrack activity targeting Europe and Latin America

Targeted cyberattacks logbook
LAZARUS

datensicherheit.de, 23.07.2020
MATA-Framework: Lazarus auch in Deutschland aktiv / APT-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework

SECURELIST by Kaspersky, 23.09.2019
Hello! My name is DTrack

[datensicherheit.de, 12.09.2022] Laut einer aktuellen Stellungnahmen von Zscaler ist der Diebstahl von Informationen für Cyber-Banden von grundlegender Bedeutung, um sich Zugang zu Systemen zu verschaffen und größere Malware-Kampagnen gegen Unternehmen zu initiieren. In einer jüngsten Analyse der „Prynt Stealer“-Malware haben demnach „ThreatLabz“-Sicherheitsforscher von Zscaler nun herausgefunden, dass Diebstahl von Informationen auch unter Cyber-Kriminellen auf der Tagesordnung steht.

Abbildung: Zscaler 2022

ThreatLabz-Sicherheitsforscher: Analyse der Prynt-Stealer-Malware

Cyber-Hintertür entdeckt: automatische Kopien exfiltrierter Daten der Opfer an privaten Telegram-Chat

Schadcode zum Erbeuten von Firmeninformationen, wie beispielsweise der sogenannte Infostealer „Prynt“, würden von den Machern häufig über einen „Builder“ konfiguriert und dann an weniger erfahrene Bedrohungsakteure verkauft. Bei der Analyse des „Prynt Stealer“ hätten die Sicherheitsforscher nun eine Hintertür entdeckt, „die automatisch Kopien der exfiltrierten Daten der Opfer an einen privaten ,Telegram’-Chat weiterleitet“.

Dieser Chat wird von den Entwicklern des Builders überwacht, die damit die gestohlenen Daten abgreifen könnten. Auf diese Weise gelangten die Daten der bestohlenen Organisationen in die Hände mehrerer Bedrohungsakteure, „wodurch sich das Risiko eines oder mehrerer groß angelegter Angriffe erhöht“.

Mit Prynt Stealer können Cyber-Kriminelle Anmeldeinformationen erfassen

Mit dem „Prynt Stealer“ seien Cyber-Kriminelle in der Lage, Anmeldeinformationen zu erfassen, „die auf einem kompromittierten System gespeichert sind, einschließlich Webbrowsern, VPN/FTP-Clients sowie Messaging- und Spieleanwendungen“. Programmiert worden sei der Stealer auf Basis von Open-Source-Projekten wie „AsyncRAT“ und „StormKitty“. Nach den Erkenntnissen der Sicherheitsforscher seien die Malware-Familien „DarkEye“ und „WorldWind“, welche ebenfalls Informationen stehlen würden, mit „Prynt Stealer“ nahezu identisch.

„Prynt Stealer“ sei eine relativ neue, in „.NET“ geschriebene Malware-Familie für Informationsdiebstahl. Bei „Prynt Stealer“ handele es sich teilweise um Code, welcher direkt aus den „Repositories“ der Varianten „WorldWind“ und „DarkEye“ kopiert worden sei und auf densekben Malware-Autor schließen lasse. Viele Teile des „Prynt Stealer“-Codes, welche von anderen Malware-Familien entliehen worden seien, würden nicht verwendet, seien aber in der Binärdatei als unerreichbarer Code vorhanden. Die erbeuteten Dateien des Opfers würden zu einem „Telegram“-Account des „Prynt“-Betreibers weitergeleitet. „Was der Betreiber nicht wissen dürfte, ist allerdings, dass eine Kopie dieser Daten via einen weiteren eingebetteten ,Telegram’-Kanal ebenfalls an den eigentlichen Autoren der Malware geschickt wird. Als Hintertür kommt dabei ,DarkEye’-Code zum Einsatz.“

Autor profitiert von Aktivitäten anderer Cyber-Krimineller

Bereits in der Vergangenheit habe dieses Vorgehen von Malware-Autoren beobachtet werden wenn – „wenn Malware kostenlos zur Verfügung gestellt wurde“. Der Autor profitiere von den Aktivitäten der Cyber-Kriminellen, „die seine Malware einsetzen und Unternehmen damit infizieren“.

Da alle entdeckten „Prynt Stealer“-Samples denselben „Telegram“-Kanal eingebettet hätten, lasse auf den vorsätzlichen Einbau der Hintertür zum Zweck der Monetarisierung schließen, obwohl manche der Kunden auch für „Prynt Stealer“ bezahlten.

Auch im Cyberspace keine Ehre unter Dieben

Die freie Verfügbarkeit von Quellcode von zahlreichen Malware-Familien habe die Entwicklung und Anpassung für Bedrohungsakteure mit geringen Programmierkenntnissen einfacher denn je gemacht. Infolgedessen seien im Laufe der Jahre viele neue Malware-Familien entstanden, die auf beliebten „Open Source“-Malware-Projekten wie „NjRat“, „AsyncRAT“ und „QuasarRAT“ basierten.

„Der Autor von ,Prynt Stealer’ ging noch einen Schritt weiter und fügte eine Hintertür hinzu, um seine Kunden zu bestehlen. Dafür baute er einen ,Telegram’-Token und eine Chat-ID in die Malware ein.“ Diese Taktik sei keineswegs neu und zeige einmal mehr, „dass es keine Ehre unter Dieben gibt“.

Weitere Informationen zum Thema:

zscaler, 01.09.2022
No Honor Among Thieves – Prynt Stealer’s Backdoor Exposed / Technical Comparison of Prynt Stealer, WorldWind, and DarkEye Malware

[datensicherheit.de, 21.06.2021] Palo Alto Networks warnt nach eigenen Angaben aktuell vor einer neuen Methode, mit der Cyber-Kriminelle gezielt Malware verbreiten. „BazarLoader“ (manchmal auch als „BazaLoader“ bezeichnet) sei eine Malware, welche „Backdoor“-Zugang zu einem infizierten „Windows“-Host biete. Nachdem ein Client infiziert ist, nutzten Kriminelle diesen „Backdoor“-Zugang, um Folge-Malware zu versenden, die Umgebung zu scannen und andere anfällige Hosts im Netzwerk auszunutzen. Palo Alto Networks habe sie eigenen Erkenntnisse, einschließlich der in diesem Bericht beschriebenen Dateimuster und Kompromittierungsindikatoren, mit den anderen Mitgliedern der Cyber Threat Alliance (CTA) geteilt. CTA-Mitglieder nutzten diese Erkenntnisse, um ihren Kunden schnell Schutzmaßnahmen bereitzustellen und böswillige Cyber-Akteure systematisch zu stören.

BazarCall-Methode: call-center-basierter Prozess zur Infizierung von Computern mit BazarLoader

Der Kriminelle hinter „BazarLoader“ verwende verschiedene Methoden, um diese Malware an potenzielle Opfer zu verteilen. Anfang Februar 2021 hätten Forscher von einer call-center-basierten Methode zur Verbreitung von „BazarLoader“ berichtet. Bei dieser Methode würden E-Mails mit einem auf einem Testabonnement basierenden Thema verwendet, welches potenzielle Opfer dazu auffordere, eine Telefonnummer anzurufen:
„Ein Call-Center-Betreiber meldet sich dann und leitet die Opfer auf eine Website, auf der sie sich von dem Dienst abmelden können.“ Die Call-Center-Betreiber böten den Opfern an, sie persönlich durch einen Prozess zu führen, der darauf abziele, anfällige Computer mit „BazarLoader“ zu infizieren. Dieser call-center-basierte Prozess zur Infizierung von Computern mit „BazarLoader“ sei als „BazarCall“-Methode bezeichnet worden (manchmal auch „BazaCall“-Methode).

Ereigniskette bei Infektionen der BazarCall-Methode

„BazarCall“-Infektionen folgen laut Palo Alto Networks einem bestimmten Aktivitätsmuster:

• Eine auf ein Probeabonnement bezogene E-Mail mit einer Telefonnummer eines Call-Centers zur Unterstützung.
• Das Opfer ruft die Telefonnummer aus der E-Mail an.
• Der Mitarbeiter des Call-Centers leitet das Opfer auf eine gefälschte Unternehmenswebsite.
• Das Opfer lädt eine „Microsoft Excel“-Datei von dieser Website herunter.
• Der Call-Center-Mitarbeiter weist das Opfer an, Makros in der heruntergeladenen „Excel“-Datei zu aktivieren.
• Der anfällige „Windows“-Computer wird mit der „BazarLoader“-Malware infiziert.
• Der Call-Center-Mitarbeiter teilt dem Opfer dann mit, dass die Abmeldung erfolgreich war.
• „BazarLoader“ generiert Befehls- und Kontrollverkehr (C2) vom infizierten „Windows“-Host.
• Der „Backdoor“-Zugang über „BazarLoader“ führt zu Aktivitäten nach der Infektion.

In diesen E-Mails werde mitgeteilt, „dass das Probeabonnement des Opfers endet und die Kreditkarte des Opfers belastet wird“. Die Telefonnummern in diesen E-Mails änderten sich mindestens täglich. Gelegentlich hätten Forscher von Palo Alto Networks beobachtet, „dass zwei oder mehr Nummern an einem einzigen Tag erscheinen“.

BazarLoader-Malware zu Befall mit Cobalt Strike und dann Anchor führen

„BazarLoader“ biete „Backdoor“-Zugriff auf einen infizierten „Windows“-Host. In einigen Fällen werde „Cobalt Strike“ als Folge-Malware eingesetzt, welche dann zu anderer Malware wie „Anchor“ führe. Es seien mindestens zwei Fälle öffentlich dokumentiert worden, in denen „BazarLoader“-Malware zu „Cobalt Strike“ und dann zu „Anchor“-Malware geführt habe – ein Fall habe sich im Februar 2021 ereignet, der andere im März 2021.
„BazarLoader“ sei jedoch nicht nur auf „Cobalt Strike“ und „Anchor“ als Folge-Malware beschränkt. Im Jahr 2020 habe es Berichte über „BazarLoader“-Fälle gegeben, welche zu Ransomware wie „Ryuk“ geführt hätten. Der „Backdoor“-Zugang zu einem infizierten „Windows“-Host könne zu jeder Malware-Familie führen.

Fazit von Palo Alto Networks zum aktuellen BazarLoader-Erkenntnisstand

Bereits im Februar 2021 habe es mehrere Berichte über die „BazarCall“-Methode gegeben, bei der „BazarLoader“-Malware über Call-Center-Mitarbeiter verteilt werde. Diese Infektionen folgten auffälligen Mustern, und sie könnten zu anderer Malware wie „Cobalt Strike“, „Anchor“ und „Ryuk“-Ransomware führen.
Unternehmen mit einer guten Spam-Filterung, einer ordnungsgemäßen Systemadministration und aktuellen „Windows“-Hosts hätten ein deutlich geringeres Risiko einer Infektion durch „BazarLoader“-Malware und deren Aktivitäten nach der Infektion. Kunden von „Palo Alto Networks Next-Generation Firewall“ seien mit einem Sicherheitsabonnement für „Threat Prevention“ zusätzlich vor dieser Bedrohung geschützt.

Weitere Informationen zum Thema:

malpedia
BazarBackdoor

TheAnalyst auf Twitter
I’m dubbing the recent #BazaLoader #BazarLoader campaigns involving social engineering and call centers as #BazarCall

malware-traffic-analysis.net auf YouTube
2021-03-29 BazaCall (BazarCall) Example

malpedia
Anchor

The DFIR Report, 08.03.2021
Bazar Drops the Anchor

TREND MICRO, 04.11.2020
Ryuk 2020: Distributing Ransomware via TrickBot and BazarLoader

[datensicherheit.de, 14.08.2020] Mithilfe ihrer „Kaspersky Threat Attribution Engine“ konnten nach eigenen Angaben kaspersky-Forscher „mehr als 300 Samples der Backdoor ,Bisonal‘ mit einer Kampagne der Cyber-Spionage-Gruppe ,CactusPete‘ in Verbindung bringen“. Diese jüngste Kampagne der „APT-Gruppe“ (APT: Advanced Persistent Threat) konzentriert sich demnach auf militärische und finanzielle Ziele in Osteuropa. Wie die verwendete „Backdoor“ auf die Geräte der Opfer kommt, sei noch unklar. Bei „CactusPete“, auch bekannt als „Karma Panda“ oder „Tonto Teaь“, handele es sich um eine Cyber-Spionage-Gruppe, die seit mindestens 2012 aktiv sei. Ihre derzeit eingesetzte „Backdoor“ habe Vertreter des Militär- und Finanzsektors in Osteuropa im Visier, um wahrscheinlich Zugang zu vertraulichen Informationen zu erhalten.

Jüngste CactusPete-Aktivitäten von kaspersky-Forschern erstmals im Februar 2020 bemerkt

Diese jüngsten Aktivitäten der Gruppe sei von kaspersky-Forschern erstmals im Februar 2020 bemerkt worden, als sie eine aktualisierte Version der „Bisonal-Backdoor“ entdeckt hätten. Mithilfe der „Kaspersky Threat Attribution Engine“ – einem Analyse-Tool, um Ähnlichkeiten in Schadcodes von bekannten Bedrohungsakteuren zu finden – habe die „Backdoor“ mit mehr als 300 weiteren, „in the wild“ gefundenen Samples in Verbindung gebracht werden können.
Alle Samples seien zwischen März 2019 und April 2020 entdeckt worden, etwa 20 Samples pro Monat. Das lasse darauf schließen, dass sich „CactusPete“ schnell entwickele. So habe die Gruppe auch ihre Fähigkeiten weiter verfeinert und sich dieses Jahr, 2020, Zugang zu komplexerem Code wie „ShadowPad“ verschafft.

CactusPete offenbar auf der Suche nach hochsensiblen Informationen

„Die Funktionalität des schädlichen Payloads lässt darauf schließen, dass die Gruppe auf der Suche nach hochsensiblen Informationen ist.“ Nach der „Backdoor“-Installation auf dem Gerät des Opfers könne die Gruppe über „Bisonal“ verschiedene Programme unbemerkt starten, Prozesse beenden, Dateien hochladen, herunterladen oder löschen und eine Liste der verfügbaren Laufwerke abrufen.
Sobald die Angreifer tiefer in das infizierte System vorgedrungen sind, komme ein Keylogger zum Einsatz, um Anmeldeinformationen zu sammeln und Malware herunterzuladen, die Berechtigungen und somit schrittweise mehr Kontrolle über das System ermögliche.

In der Vergangenheit setzte CactusPete überwiegend auf Spear-Phishing-Mails

Es sei noch unklar, wie die „Backdoor“ in dieser Kampagne auf das Gerät gelangt. In der Vergangenheit habe „CactusPete“ jedoch überwiegend auf Spear-Phishing-Mails gesetzt, die schädliche Anhänge enthielten, um Geräte zu infizieren.
„,CactusPete‘ ist eine interessante APT-Gruppe, weil sie eigentlich nicht so fortgeschritten ist, auch nicht ihre ,Bisonal-Backdoor‘“, berichtet Konstantin Zykov, Sicherheitsexperte bei kaspersky.

CactusPete nutzt erfolgreich Social Engineering

Ihr Erfolg beruht nicht auf komplexer Technologie oder ausgeklügelten Verteilungs- und Verschleierungstaktiken, sondern auf erfolgreichem „Social Engineering“, erläutert Zykov: „Sie schaffen es, hochrangige Ziele zu infizieren, indem ihre Opfer schädliche Anhänge in Phishing-Mails öffnen.“
Dies sei ein gutes Beispiel dafür, warum Phishing weiterhin eine so effektive Methode zum Starten von Cyber-Angriffen sei und „warum es für Unternehmen so wichtig ist, ihre Mitarbeiter darin zu schulen, wie sie solche E-Mails erkennen und wie sie mittels ,Threat Intelligence‘ über die neueste Bedrohung auf dem Laufenden bleiben können“.

kaspersky-Empfehlungen zum Schutz vor APT-Gruppen wie z.B. CactusPete:

•  Das Team des „Security Operations Center“ (SOC) sollte stets Zugriff auf die neuesten Bedrohungsinformationen haben, um über neue und zukünftige Tools, Techniken und Taktiken, die von Bedrohungsakteuren und Cyber-Kriminellen verwendet werden, auf dem Laufenden zu bleiben.
• Unternehmen sollten eine EDR-Lösung (wie z.B. „Kaspersky Endpoint Detection and Response“) implementieren, um Vorfälle rechtzeitig erkennen, untersuchen und darauf reagieren zu können.
• Mitarbeiter sollten regelmäßig zum Thema Cyber-Sicherheit geschult werden, da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken begännen. Simulierte Phishing-Angriff könnten dabei helfen, die Mitarbeiter zu testen, zu trainieren und auf das Vorgehen von Cyber-Kriminellen aufmerksam zu machen.
•  Etwa mit der „Kaspersky Threat Attribution Engine“ (als ein Beispiel) könnten schädliche Samples schnell mit bekannten Angriffsakteuren verknüpft werden.

Weitere Informationen zum Thema:

kaspersky SECURELIST, Konstantin Zykov, 13.08.2020
CactusPete APT group’s updated Bisonal backdoor / The backdoor was used to target financial and military organizations in Eastern Europe

kaspersky SECURELIST, GreAT, 29.07.2020
APT trends report Q2 2020

datensicherheit.de, 09.07.2020
kaspersky: Neues Geschäftsmodell von Cyber-Kriminellen

[datensicherheit.de, 16.11.2019] proofpoint warnt in einer aktuellen Meldung davor, dass ein neuer Akteur – „TA 2101“ (Threat Actor 2101) – E-Mails an deutsche Unternehmen und Organisationen versendet, um darüber Backdoor-Malware zu verteilen. Dabei tarnten sich die Cyber-Kriminellen als „Bundeszentralamt für Steuern“, also als eine tatsächlich existierende Behörde, die aber eher unbekannt sei.

Cyber-Kriminelle missbrauchen „Cobalt Strike“

Zum Einsatz kommt demnach „Cobalt Strike“, ein normalerweise kommerziell lizensiertes, für Penetrationstests verwendetes Softwaretool. Es ahme dabei die Funktionsweise des Backdoor-Frameworks von „Metasploit“, einem ähnlichen Penetrationstest-Werkzeug, nach.
Dieses Programm sei eigentlich für den Einsatz durch Unternehmen für die Sicherung der eigenen IT gedacht. Jedoch hätten verschiedene Akteure, beispielsweise „Cobalt Group“, „APT32“ und „APT19“ dieses Werkzeug bereits zweckentfremdet.

Social-Engineering-Methoden für E-Mail-Angriffe genutzt

Um seine E-Mail-Angriffe effizienter zu gestalten, verwendet dieser neue Akteur laut proofpoint Social-Engineering-Methoden. Außer in Deutschland sei er auch in Italien unter dem Absender „Agenzia Delle Entrate“ (Agentur der Einnahmen) und in den Vereinigten Staaten als United States Postal Service (USPS) aktiv.
Die Experten von proofpoint haben nach eigenen Angaben diese Aktivitäten zwischen dem 16. und 23. Oktober 2019 festgestellt, wobei sich die Cyber-Kriminellen nicht auf eine bestimmte Branche konzentriert, sondern Empfänger in Fertigungsunternehmen, im Gesundheitswesen sowie für Business- und IT-Dienstleistungen gleichermaßen angriffen hätten.

Weitere Informationen zum Thema:

proofpoint, Bryan Campbell u.a., 14.11.2019
TA2101 plays government imposter to distribute malware to German, Italian, and US organizations

Bundeszentralamt für Steuern
Betrüger versenden E-Mails im Namen des Bundeszentralamts für Steuern

datensicherheit.de, 08.08.2019
proofpoint und amazon entfernen Betrüger-Webseiten

datensicherheit.de, 19.07.2019
FaceApp: Hype lockt Betrüger an

datensicherheit.de, 29.05.2019
Proofpoint: Emotet fast zwei Drittel aller bösartigen Payloads

datensicherheit.de, 13.05.2019
Proofpoint-Studie: Finanzdienstleister beliebtes Ziel für Cyberkriminelle

[datensicherheit.de, 25.09.2019] Guardicore meldet, dass das „Smominru“-Botnetz ein „unrühmliches Comeback“ feiert und aktuell 4.700 Rechner pro Tag infiziert. „Smominru” dient demnach dazu, Kyptowährungen zu schürfen und Zugangsdaten zu stehlen. Die kompromittierten Netzwerke beträfen US-Hochschulen, Medizintechnikfirmen und einen Gesundheitsdienstleister in Italien mit insgesamt 65 infizierten Hosts — sogar Cyber-Sicherheitsanbieter seien betroffen.

Im August 2019 mehr als 4.900 Unternehmensnetze infiziert

Guardicore warnt vor einer neuen Angriffswelle durch die „Smominru“-Malware, die allein im August 2019 mehr als 4.900 Unternehmensnetze infiziert habe. Das „Smominru“-Botnetz sei bereits seit 2017 aktiv, aber breite sich aktuell über neue Angriffsmethoden schnell mit dem Ziel aus, Kyptowährungen zu schürfen und Zugangsdaten zu stehlen.
Dieses weltweite Botnetz kompromittiere „Windows“-Rechner vor allem über den „EternalBlue“-Exploit, der ursprünglich von der U.S. National Security Agency ausgearbeitet worden sei. Nachdem die Hacker-Gruppe „Shadow Brokers“ die Sicherheitslücke geleakt hatte, habe sie unter anderem im Rahmen der „WannaCry“-Ransomware-Attacke 2016 großflächige Schäden angerichtet. Von den aktuellen „Smominru“-Attacken seien insbesondere China, Taiwan, Russland, Brasilien und die USA betroffen.

Brute-Force-Angriffe auf verschiedene Services und Computerprotokolle

Guardicore-Sicherheitsforscher konnten sich nach eigenen Angaben „Zugriff auf einen der angreifenden Hauptserver verschaffen und so Infektionsmuster sowie Umfang der Malware-Kampagne untersuchen“.
Neben dem „EternalBlue“-Exploit nutzten die Angreifer demnach Brute-Force-Angriffe auf verschiedene Services und Computerprotokolle wie „MS-SQL“, RDP oder Telnet. Nach der Erstinfektion werde zunächst ein Powershell-Skript namens „blueps.txt“ auf den betroffenen Rechner geladen, das mehrere Maßnahmen durchführe.

3 Binärdateien heruntergeladen

Im ersten Schritt würden drei Binärdateien heruntergeladen und ausgeführt, um ein administratives Benutzerkonto namens „admin$“ auf dem IT-System neu zu erstellen.
Nach dem Download zusätzlicher Skripte führten die Angreifer dann böswillige Aktionen im angegriffenen Netzwerk aus. Die Angreifer installierten mehrere Backdoor-Programme auf den kompromittierten Rechnern, um neue Nutzer, geplante Tasks, WMI-Objekte und Dienste beim Systemstart einrichten zu können.

Weitere Informationen zum Thema:

Guardicore, Ophir Harpaz and Daniel Goldberg, 18.09.2019
THE MASSIVE PROPAGATION OF THE SMOMINRU BOTNET

datensicherheit.de, 18.02.2019
IoT-Botnetze sind weiterhin große Gefahr für Unternehmen