Hacker Gruppe

Der russischsprachige Bedrohungsakteur ,Turla‘ hat sein Portfolio an Bedrohungswerkzeugen umfassend modifiziert, wie Kaspersky-Forscher jetzt herausfanden. 

Die Gruppe erweiterte ihre bekannte JavaScript-KopiLuwak-Malware um einen neuen Dropper namens ,Topinambour‘, der von den Cybersecurity-Experten in zwei ähnlichen Versionen und in anderen Sprachen identifiziert wurde. Die Malware wird jetzt unter anderem über infizierte Software-Installationspakete zur Umgehung von Internetzensur verbreitet. Die Sicherheitsexperten glauben, dass diese Maßnahmen darauf abzielen, das Erkennungsrisiko ihrer Schadprogramme zu minimieren und die Auswahl idealer Zielopfer zu präzisieren. Topinambour wurde Anfang 2019 bei einer Kompromittierungsaktion gegen Regierungsstellen entdeckt.

Bei Turla handelt es sich um einen bekannten russischsprachigen Bedrohungsakteur, der sich auf Cyberspionageaktivitäten gegen staatliche und diplomatische Ziele spezialisiert hat. Die Gruppe gilt als äußerst innovativ und wurde durch ihre charakteristische KopiLuwak-Malware – erstmals Ende 2016 beobachtet – bekannt. In diesem Jahr entdeckten die Kaspersky-Forscher neue – von Turla entwickelte – Tools und Techniken, mit denen der Tarnungsgrad ihrer Malware erhöht und infolgedessen die Erkennungswahrscheinlichkeit minimiert wird.

Topinambour (benannt nach dem Gemüse Topinambur) ist eine neue, von Turla verwendete .NET-Datei‘, mit denen das JavaScript KopiLuwak mittels infizierter Installationspakete für legitime Softwareprogramme (etwa VPNs zur Umgehung von Internetzensur) zu streuen.

Cyberkriminelle reduzieren Erkennungsrisiko

KopiLuwak wurde zum Zwecke der Cyberspionage konzipiert und Turlas neu entwickelter Infektionsprozess beinhaltet Funktionalitäten, die der Malware helfen, eine Erkennung zu vermeiden. So verfügt etwa die Command-and-Control-Infrastruktur über IPs, die gewöhnliche LAN-Adressen imitieren. Darüber hinaus agiert die Malware fast vollständig „fileless“. Die letzte Phase des Infektionsprozesses, bei der ein verschlüsselter Trojaner die Fernverwaltung übernimmt, ist komplett in die Registry des Computers eingebettet. Die Malware kann, sobald sie bereit ist, auf diese zugreifen.

Die beiden neu entdeckten KopiLuwak-Versionen: der .NET-RocketMan‘-Trojaner und der ,PowerShell-MiamiBeach‘-Trojaner sind ebenfalls für Cyberspionage konzipiert. Die Kaspersky-Forscher sind der Meinung, dass diese Varianten gegen Ziele mit installierter Sicherheitssoftware eingesetzt werden, die in der Lage ist, KopiLuwak-Trojaner zu erkennen. Nach erfolgreicher Installation sind alle drei Versionen in der Lage:

  • Die individuellen Spezifika (Fingerprint targets) infizierter Zielrechner umfassend zu analysieren;
  • Gespeicherte Informationen über System- und Netzwerkadapter zu sammeln;
  • Daten zu stehlen;
  • Zusätzliche Malware herunter zu laden und auszuführen.

Der Typ MiamiBeach ist darüber hinaus fähig, Screenshots zu machen.

„In diesem Jahr zeigt sich Turla mit überarbeitetem Toolset an Schadprogrammen und mit mit einer Reihe neuer Funktionen, die eine Erkennung durch Sicherheitslösungen und Forscher erschweren. Dazu gehören eine Reduzierung des digitalen Fingerabdrucks der Malware und zwei neue, nach ähnlichem Design konzipierte Versionen der bekannten KopiLuwak-Malware“, betont Kurt Baumgartner, leitender Sicherheitsforscher bei Kaspersky. „Der Missbrauch von Installationspaketen für VPN-Software, die Internetzensur umgehen können, deutet darauf hin, dass sich die Angreifer klar definierte Cyberspionageziele für diese Tools gesetzt haben. Die kontinuierliche Weiterentwicklung des Turla-Portfolios unterstreicht die Notwendigkeit, Threat Intelligence-Lösungen und geeignete Sicherheitssoftware einzusetzen, die vor den neuesten Tools und Techniken von APTs (Advanced Persistence Threats) schützen. Beispielsweise würde ein Endpunktschutz und die Überprüfung von Datei-Hashes nach dem Herunterladen von Installationssoftware helfen, um sich vor Bedrohungen wie Topinambour entsprechend zu schützen.“

Kaspersky-Tipps für mehr Sicherheit vor komplexen Gefahren

Um das Risiko zu verringern, Opfer komplexer Cyberspionageoperationen zu werden, empfiehlt Kaspersky folgende Maßnahmen:

  • IT-Security-Schulungen für Unternehmensmitarbeiter, um das Sicherheitsbewusstsein zu stärken und potenziell schädliche Anwendungen oder Dateien zu erkennen und zu vermeiden. So sollten Mitarbeiter beispielsweise keine Anwendungen oder Programme aus nicht vertrauenswürdigen oder unbekannten Quellen herunterladen und starten.
     
  • Implementierung einer EDR-Lösung wie Kaspersky Endpoint Detection and Response zur Erkennung, Untersuchung und rechtzeitigen Behebung von Vorfällen auf Endpoint-Ebene.
     
  • Integration einer unternehmensweiten Sicherheitslösung, die komplexe Bedrohungen auf Netzwerkebene frühzeitig erkennt – etwa die Kaspersky Anti Targeted Attack Platform.
     
  • Permanenter Zugang des Security Operation Center (SOC) auf aktuelle Bedrohungsinformationen, um über die neuen und aufkommenden Tools, Techniken und Taktiken von Cyberkriminellen auf dem Laufenden zu bleiben.

Weitere Informationen:

Den vollständigen Kaspersky-Bericht finden Sie hier.

www.kaspersky.com/de/
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Baby Monitor

Schwachstelle im iBaby-Monitor M6S identifiziert

Sicherheitsforscher bei Bitdefender haben zahlreiche Schwachstellen im iBaby-Monitor M6S gefunden, einer beliebten Baby-Monitor-Kamera. Die bis heute vom Hersteller nicht gepatchten Schwachstellen ermöglichen Angreifern den Zugriff auf in die Cloud…
Hacker Cloud

Neue Angriffsart Cloud Snooper kommuniziert via Firewalls

Die Security-Experten der SophosLabs haben eine neue Cyberattacke namens Cloud Snooper aufgedeckt. Die Angriffsmethode verwendet eine bislang unbekannte Kombination aus Hackertechniken, um Schadsoftware den Weg frei zu machen und ungehemmt auf Servern mit…
Ransomware

Über 61 Millionen blockierte Ransomware-Angriffe im Jahr 2019

Trend Micro stellt seinen Security Roundup Report für 2019 vor. Der Bericht beschreibt die wichtigsten Entwicklungen in der Bedrohungslandschaft, um Unternehmen beim Schutz ihrer Infrastrukturen vor aktuellen und neu auftretenden Bedrohungen zu helfen.
Cybercrime Roboter

Milliarden Verluste durch ungeschützte Maschinenidentitäten

Venafi und AIR Worldwide geben die Ergebnisse eines Berichts über die wirtschaftlichen Auswirkungen schlecht geschützter Maschinenidentitäten bekannt. Dem Bericht zufolge könnten Verluste zwischen 51 und 72 Milliarden US-Dollar für die Weltwirtschaft durch…
Daten Gesundheitswesen

Datenschutzverletzungen im Gesundheitswesen

Bitglass, hat seinen sechsten jährlichen „Healthcare Breach Report“ veröffentlicht. Der aktuelle Bericht untersucht Datenschutzverletzungen im Jahr 2019, vergleicht sie mit denen früherer Jahre und gewährt Einblick in die wichtigsten Entwicklungen und…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!