Anzeige

Anzeige

VERANSTALTUNGEN

SAMS 2019
25.02.19 - 26.02.19
In Berlin

Plutex Business-Frühstück
08.03.19 - 08.03.19
In Hermann-Ritter-Str. 108, 28197 Bremen

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

ELO Solution Day Hannover
13.03.19 - 13.03.19
In Schloss Herrenhausen, Hannover

Anzeige

Anzeige

Spion im Trenchcoat

Die Experten von Kaspersky Lab haben mehrere Kompromittierungsversuche gegen ausländische diplomatische Einrichtungen im Iran mittels einer selbstentwickelten Spyware identifiziert. Bei den Angriffen kamen wohl eine aktualisierte Version des Remexi-Backdoor-Programms sowie verschiedene legitime Tools zum Einsatz. 

  • Aktualisierte Remexi-Backdoor gefunden
  • Kaspersky Lab warnt vor Angriffen mittels einfacher Malware in Kombination mit öffentlichen Tools

Hinter der Remexi-Backdoor wird eine verdächtige Farsi sprechende Cyberspionagegruppe namens ,Chafer‘ vermutet, die zuvor mit digitalen Observationen von Einzelpersonen im Nahen Osten in Verbindung gebracht wurde. Der Fokus auf Botschaften könnte eine Neuorientierung der Gruppe sein.

Die Operation zeigt, wie Bedrohungsakteure in Entwicklungsregionen Cyberangriffskampagnen mittels relativ einfacher Malware in Kombination mit öffentlich verfügbaren Tools umsetzen. In diesem Fall verwendeten die Angreifer eine aktualisierte Version der Remexi-Backdoor, die eine Remote-Verwaltung des kompromittierten Opfer-Computers ermöglicht.

Die Malware Remexi wurde erstmals im Jahr 2015 entdeckt und von der Cyberspionagegruppe Chafer für eine digitale Überwachungsoperation eingesetzt, die es auf Einzelpersonen und Organisationen im Nahen Osten abgesehen hatte. Die in der aktuellen Kampagne verwendete Backdoor weist Ähnlichkeiten im Code mit bekannten Samples der Remexi-Malware auf. Dass zudem dieselben Ziele anvisiert werden, lässt die Kaspersky-Experten vermuten, dass die Cyberspionage-Gruppe Chafer hinter der Kampagne steckt.

Die nun entdeckte Remexi-Version kann Befehle aus der Ferne auszuführen und Screenshots, Browserdaten, einschließlich Nutzeranmeldedaten, Logins und Verlauf sowie eingegebenen Text erfassen. Die gestohlenen Daten werden mithilfe der legitimen BITS-Anwendung (Background Intelligent Transfer Service) von Microsoft, einer Windows-Komponente, die Windows-Hintergrund-Updates ermöglichen soll, herausgefiltert. Der Trend, Malware mit angemessenem oder legitimem Code zu kombinieren, hilft Angreifern dabei, Zeit und Ressourcen bei der Erstellung von Malware zu sparen und die Attribution komplizierter zu machen.

„Wenn wir über potentielle staatlich unterstützte Cyberspionage-Kampagnen sprechen, denken viele oft an fortgeschrittene Operationen mit komplexen Tools, die von Experten entwickelt wurden“, so Denis Legezo, Sicherheitsforscher bei Kaspersky Lab. „Die Personen hinter dieser Spyware-Kampagne scheinen jedoch eher Systemadministratoren als ausgeklügelte Bedrohungsakteure zu sein: Sie wissen, wie man codiert, aber ihre Kampagne beruht mehr auf der kreativen Verwendung bereits vorhandener Tools als auf neuen, erweiterten Funktionen oder einer ausgefeilten Code-Architektur. Allerdings können selbst relativ einfache Tools erheblichen Schaden anrichten. Daher empfehlen wir Organisationen, ihre wertvollen Informationen und Systeme vor Bedrohungen jeglicher Art zu schützen und Threat Intelligence zu nutzen, um zu verstehen, wie sich die Landschaft entwickelt.“

Kaspersky-Empfehlungen zum Schutz vor zielgerichteter Spyware

  • Einsatz geeigneter Sicherheitslösungen mit Technologien zum Schutz vor zielgerichteten Angriffen und von Threat Intelligence Services wie Kaspersky Threat Management and Defense zur Analyse von Netzwerkanomalien und für mehr Einblick der Sicherheitsteams in das Netzwerk sowie automatisierte Reaktionen;
     
  • Cyber-Awareness-Schulungen wie Kaspersky Security Awareness schulen Mitarbeiter, verdächtige  Nachrichten zu erkennen; E-Mails sind nach wie vor ein häufiges Einfallstor für zielgerichtete Attacken;
     
  • Aktuelle Threat-Intelligece-Daten helfen dabei, die aktuellen Taktiken und Tools der Cyberkriminellen zu kennen und die bisher genutzten Security Controls zu erweitern.

Mehr Informationen zu Chafer und der verwendeten Remexi-Malware unter https://securelist.com/chafer-used-remexi-malware/89538/

www.kaspersky.com/de
 

GRID LIST
Trojaner

RTM-Banking-Trojaner hat es auf KMUs abgesehen

Experten von Kaspersky Lab warnen vor dem ,RTM-Banking-Trojaner‘: Der Schädling hat es…
Cyberattacken

Cyberangriffe auf Lieferketten – neue Waffen im Handelskrieg

Sie sind schwerbewaffnet und richten oft großen Schaden an – egal ob Hobbyhacker,…
Phishing

Achtung Phishing: Gefälschte Amazon-Mails

Erneut ist der Versandhändler Amazon Opfer einer Phishing-Welle geworden. Unbekannte…
Stephan von Gündell-Krohne

Darum ist das IoT das Thema auf der Sicherheitskonferenz

Smarte Technologie gehört fest zum Unternehmensalltag – trotz bekannter…
Marc Wilczek

Account-Daten im Darknet

Wie bekannt wurde, steht eine enorm große Datenbank mit E-Mailadressen sowie Passwörtern…
Danger Online-Dating

Valentinstag: Die Gefahr hinter Dating-Apps

Die neue Netflix-Serie „You“ zeigt auf, wie einfach es im Zeitalter von Social Media und…
Smarte News aus der IT-Welt