Anzeige

Netscout Arbor hat kürzlich Lojack-Agenten entdeckt, die bösartige Command-and-Control (C2s)-Domänen enthalten. Die missbräuchliche Nutzung der Lojack-Software steht wahrscheinlich in Zusammenhang mit der Hackergruppe Fancy Bear, auch als APT28 und Pawn Storm bekannt. 

Die InfoSec-Community und die US-Regierung haben die Aktivitäten von Fancy Bear der russischen Spionage zugeschrieben. Die Hackergruppe wählt typischerweise geopolitische Ziele, wie Regierungen und internationale Organisationen – oder Branchen, die mit solchen Organisationen Geschäfte machen, wie etwa Rüstungsunternehmen.

Lojack, früher bekannt als Computrace, ist eine legitime Laptop-Wiederherstellungslösung, die Unternehmen etwa im Falle eines Diebstahls einsetzen. Die Software kann Geräte remote verschlüsseln, sperren und Dateien löschen. Lojack ist für Angreifer attraktiv, da die Software legal ist und gleichzeitig die Ausführung von Remote-Code ermöglicht. Der Verteilungsmechanismus für die bösartigen Lojack-Samples bleibt bisher unbekannt. Allerdings verwendet Fancy Bear häufig Phishing, um Malware-Payloads bereitzustellen, wie es bei Sedupload Ende 2017 der Fall war.

Viele Antiviren-Hersteller kennzeichnen Lojack-Executables nicht als bösartig, sondern als „not-a-virus“ oder „Risk Tool“. Bei niedriger AV-Erkennung hat der Angreifer nun eine ausführbare Datei, die sich im Klartext versteckt, und damit einen Doppelagenten. Der Angreifer muss lediglich einen Rogue-C2-Server aufsetzen, der die Lojack-Kommunikationsprotokolle simuliert. Schließlich erlaubt der „kleine Agent“ von Lojack das Lesen und Schreiben des Speichers, was ihm eine Remote-Backdoor-Funktionalität ermöglicht, wenn er mit einem Rogue-C2-Server gekoppelt ist.

ASERT empfiehlt, mit Hilfe der nachstehend aufgeführten Yara-Signatur nach betrügerischen Lojack-Agenten zu suchen:

Appendix: Yara Signature

rule ComputraceAgent

{

meta:

description = "Absolute Computrace Agent Executable"

thread_level = 3

in_the_wild = true

strings:

$a = {D1 E0 F5 8B 4D 0C 83 D1 00 8B EC FF 33 83 C3 04}

$mz = {4d 5a}

$b1 = {72 70 63 6E 65 74 70 2E 65 78 65 00 72 70 63 6E 65 74 70 00}

$b2 = {54 61 67 49 64 00}

condition:

($mz at 0 ) and ($a or ($b1 and $b2))

}

 

https://asert.arbornetworks.com/lojack-becomes-a-double-agent/

netscout.com

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cyber Crime

Cyberkriminalität stieg 2019 um 50%

Die Zahl der Fälle von Cyberkriminalität stieg in 2019 weiter stetig an. 75% aller Unternehmen in Deutschland waren Ziel von Angriffen. Besonders stark betroffen ist der Mittelstand.
Hacker Russland

Russische Hacker nutzen Exim-Schwachstelle aus

Am Donnerstag, den 28. Mai 2020, veröffentlichte die NSA eine Sicherheitswarnung über Cyberattacken gegen E-Mail-Server, die von einer russischen Cyber-Spionagegruppe durchgeführt wurde. Ein Kommentar von Satnam Narang, Staff Research Engineer, Tenable.
Hacker Computer

Sinkendes Vertrauen unter Cyberkriminellen

Trend Micro, ein Anbieter von IT-Sicherheitslösungen, hat neue Erkenntnisse zu cyberkriminellen Aktivitäten sowie dem Handel mit Produkten und Dienstleistungen im Cyber-Untergrund veröffentlicht. Demnach schwindet das Vertrauen unter Cyberkriminellen…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!