VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Cybercrime Totenkopf 725880445 500

Netscout Arbor hat kürzlich Lojack-Agenten entdeckt, die bösartige Command-and-Control (C2s)-Domänen enthalten. Die missbräuchliche Nutzung der Lojack-Software steht wahrscheinlich in Zusammenhang mit der Hackergruppe Fancy Bear, auch als APT28 und Pawn Storm bekannt. 

Die InfoSec-Community und die US-Regierung haben die Aktivitäten von Fancy Bear der russischen Spionage zugeschrieben. Die Hackergruppe wählt typischerweise geopolitische Ziele, wie Regierungen und internationale Organisationen – oder Branchen, die mit solchen Organisationen Geschäfte machen, wie etwa Rüstungsunternehmen.

Lojack, früher bekannt als Computrace, ist eine legitime Laptop-Wiederherstellungslösung, die Unternehmen etwa im Falle eines Diebstahls einsetzen. Die Software kann Geräte remote verschlüsseln, sperren und Dateien löschen. Lojack ist für Angreifer attraktiv, da die Software legal ist und gleichzeitig die Ausführung von Remote-Code ermöglicht. Der Verteilungsmechanismus für die bösartigen Lojack-Samples bleibt bisher unbekannt. Allerdings verwendet Fancy Bear häufig Phishing, um Malware-Payloads bereitzustellen, wie es bei Sedupload Ende 2017 der Fall war.

Viele Antiviren-Hersteller kennzeichnen Lojack-Executables nicht als bösartig, sondern als „not-a-virus“ oder „Risk Tool“. Bei niedriger AV-Erkennung hat der Angreifer nun eine ausführbare Datei, die sich im Klartext versteckt, und damit einen Doppelagenten. Der Angreifer muss lediglich einen Rogue-C2-Server aufsetzen, der die Lojack-Kommunikationsprotokolle simuliert. Schließlich erlaubt der „kleine Agent“ von Lojack das Lesen und Schreiben des Speichers, was ihm eine Remote-Backdoor-Funktionalität ermöglicht, wenn er mit einem Rogue-C2-Server gekoppelt ist.

ASERT empfiehlt, mit Hilfe der nachstehend aufgeführten Yara-Signatur nach betrügerischen Lojack-Agenten zu suchen:

Appendix: Yara Signature

rule ComputraceAgent

{

meta:

description = "Absolute Computrace Agent Executable"

thread_level = 3

in_the_wild = true

strings:

$a = {D1 E0 F5 8B 4D 0C 83 D1 00 8B EC FF 33 83 C3 04}

$mz = {4d 5a}

$b1 = {72 70 63 6E 65 74 70 2E 65 78 65 00 72 70 63 6E 65 74 70 00}

$b2 = {54 61 67 49 64 00}

condition:

($mz at 0 ) and ($a or ($b1 and $b2))

}

 

https://asert.arbornetworks.com/lojack-becomes-a-double-agent/

netscout.com

 

GRID LIST
Hacker im Visir

Drittanbieter-Software im Fokus von Hackern – was können MSP tun?

Der traditionelle Ansatz der IT lautet: Wenn dein Betriebssystem gepatcht ist, dann ist…
KI Security

Falsche Abwehrstrategie zwingt die IT-Sicherheitsbranche in Aufrüstspirale

Anbieter von Sicherheitssoftware vermarkten den Einsatz von KI in ihren Produkten als…
Tb W190 H80 Crop Int E6b1eed76833e40b6dff0a1070b0694f

Cyber-Kriminelle nutzen Fake-App für Malware

Im vergangenen Monat haben Cyber-Kriminelle mithilfe einer gefälschten App des…
Tb W190 H80 Crop Int Db461ec563234e57f2cba9109df3ec5f

Kryptowährungen im Überblick

Seit 2010 ist der Vormarsch der sogenannten Kryptowährungen nicht mehr aufzuhalten. Dabei…
Ransomware Lösegeld

Ransomware: Warnung vor Lösegeldzahlung

Cyberkriminelle „kidnappen“ Daten und Computer von Organisationen und Einzelpersonen. Der…
Tb W190 H80 Crop Int C47c64413dabc5f83c8af1202d07c3d8

Vernetzung bedeutet höhere Gefährdung für KRITIS-Betreiber

Digitalisierung und die zunehmende Vernetzung aller Versorgungsbereiche stellen den…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security