Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Hacker

Die Experten von Kaspersky Lab (GReAT) haben mehrere Infektionen eines bisher unbekannten Trojaners entdeckt, der höchstwahrscheinlich vom chinesischsprachigen Bedrohungsakteur ,LuckyMouse‘ stammt.

Die Malware ist mit einem außergewöhnlichen Treiber ausgestattet, der mit einem legitimen digitalen Zertifikat eines Herstellers für Security-Software signiert ist.

Die Gruppe LuckyMouse ist bekannt für zielgerichtete Cyberangriffe auf große Unternehmen weltweit. Die Aktivitäten der Gruppe stellen eine Gefahr für ganze Regionen dar, da ihre Angriffe eine politische Agenda zu haben scheinen. Erst im vergangenen Juni hatte die Gruppe ein Datenzentrum in Zentralasien im Visier. Kaspersky Lab vermutet aus der Analyse der Opferprofile und der bisherigen Angriffsvektoren der Gruppe, dass der entdeckte Trojaner möglicherweise für staatlich unterstützte Cyberspionage eingesetzt wurde.

Kaspersky-Report zeigt Vorgehen von LuckyMouse

Der von Kaspersky Lab entdeckte Trojaner infizierte einen anvisierten Computer mit einem Treiber, der von den Bedrohungsakteuren selbst erstellt wurde. Damit konnten die Angreifer übliche Aufgaben wie Befehlsausführung, Down- und Upload von Dateien ausführen sowie den Netzwerkverkehr abfangen.

Der Treiber wurde offenbar mit einem gestohlenen digitalen Zertifikat versehen, das ursprünglich von einem Softwarehersteller für Informationssicherheit stammt, um ihn als vertrauenswürdig einstufen zu lassen. Damit sollte verhindert werden, dass die Malware-Samples von Sicherheitslösungen entdeckt werden – eine legitime Signatur lässt die Malware als legale Software erscheinen.

Obwohl der Akteur LuckyMouse in der Lage ist, selbst eigene schädliche Software zu erstellen, wurde für die verwendete Software scheinbar eine Kombination aus öffentlich zugänglichem Code aus öffentlichen Quellen und eigener Malware verwendet. Der Einsatz von gebrauchsfertigen Codes von Drittanbietern, anstatt eigenen Code zu schreiben, spart den Entwicklern Zeit und erschwert zudem die Zuschreibung (Attribuierung).

„LuckyMouse-Kampagnen erscheinen fast immer im Vorlauf eines hochkarätigen politischen Ereignisses und der Zeitpunkt eines Angriffs geht normalerweise einer Veranstaltung mit hochrangigen Politikern voraus“, so Denis Legezo, Sicherheitsforscher bei Kaspersky Lab.

Sicherheitsempfehlungen von Kaspersky Lab

  • Trotz digitalem Zertifikat können Backdoor-Programme in der Software enthalten sein; dem Code auf dem System sollte nicht automatisch vertraut werden.
  • Eine robuste Sicherheitslösung mit Verhaltenserkennungstechnologie erkennt selbst unbekannte Bedrohungen.
  • Threat-Intelligence-Services wie Kaspersky Threat Intelligence gewähren frühen Zugang zu Informationen über die neuesten Entwicklungen in puncto Taktiken, Techniken und Vorgehensweisen von komplexen Bedrohungsakteuren.

Mehr Informationen zur Gruppe LuckyMouse und deren Vorgehensweise unter https://securelist.com/luckymouse-ndisproxy-driver/87914/
 

GRID LIST
Tb W190 H80 Crop Int D2cac016e9d69b9200475c19f0b416ac

Forscher decken Sicherheitslücken in Fortnite auf

Sicherheitsforscher von Check Point gaben Details der Sicherheitslücken bekannt, die für…
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

So lassen Sie Phishing-Attacken ins Leere laufen

Sicherheitstipps haben sich in den letzten Jahren kaum verändert. Geräte wurden zwar…
Karsten Glied

Zu unbedarfter Umgang mit der IT-Sicherheit?

Zum jüngsten Hacker-Angriff auf Politiker, Journalisten und bekannten Persönlichkeiten…
Security Concept

Verantwortung für die IT-Security der eigenen Geräte übernehmen

Auf der CES werden wie jedes Jahr eine Vielzahl neuer Geräte vorgestellt. Passend dazu…
Tb W190 H80 Crop Int 5f246ccbf6b1305119a03e5f5f5f3175

CEO & Co. als Zielscheibe von Cyberkriminellen

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des…
Elmar Albinger

Politiker-Hack: Passwort "Schwachstelle Mensch"

Der Hackerangriff auf deutsche Mandatsträger und Prominente hat das politische Berlin in…
Smarte News aus der IT-Welt