Thought Leadership
Netscout Arbor hat kürzlich Lojack-Agenten entdeckt, die bösartige Command-and-Control (C2s)-Domänen enthalten. Die missbräuchliche Nutzung der Lojack-Software steht wahrscheinlich in Zusammenhang mit der Hackergruppe Fancy Bear, auch als APT28 und Pawn Storm bekannt.
Die InfoSec-Community und die US-Regierung haben die Aktivitäten von Fancy Bear der russischen Spionage zugeschrieben. Die Hackergruppe wählt typischerweise geopolitische Ziele, wie Regierungen und internationale Organisationen – oder Branchen, die mit solchen Organisationen Geschäfte machen, wie etwa Rüstungsunternehmen.
Lojack, früher bekannt als Computrace, ist eine legitime Laptop-Wiederherstellungslösung, die Unternehmen etwa im Falle eines Diebstahls einsetzen. Die Software kann Geräte remote verschlüsseln, sperren und Dateien löschen. Lojack ist für Angreifer attraktiv, da die Software legal ist und gleichzeitig die Ausführung von Remote-Code ermöglicht. Der Verteilungsmechanismus für die bösartigen Lojack-Samples bleibt bisher unbekannt. Allerdings verwendet Fancy Bear häufig Phishing, um Malware-Payloads bereitzustellen, wie es bei Sedupload Ende 2017 der Fall war.
Viele Antiviren-Hersteller kennzeichnen Lojack-Executables nicht als bösartig, sondern als „not-a-virus“ oder „Risk Tool“. Bei niedriger AV-Erkennung hat der Angreifer nun eine ausführbare Datei, die sich im Klartext versteckt, und damit einen Doppelagenten. Der Angreifer muss lediglich einen Rogue-C2-Server aufsetzen, der die Lojack-Kommunikationsprotokolle simuliert. Schließlich erlaubt der „kleine Agent“ von Lojack das Lesen und Schreiben des Speichers, was ihm eine Remote-Backdoor-Funktionalität ermöglicht, wenn er mit einem Rogue-C2-Server gekoppelt ist.
ASERT empfiehlt, mit Hilfe der nachstehend aufgeführten Yara-Signatur nach betrügerischen Lojack-Agenten zu suchen:
Appendix: Yara Signature
rule ComputraceAgent
{
meta:
description = “Absolute Computrace Agent Executable”
thread_level = 3
in_the_wild = true
strings:
$a = {D1 E0 F5 8B 4D 0C 83 D1 00 8B EC FF 33 83 C3 04}
$mz = {4d 5a}
$b1 = {72 70 63 6E 65 74 70 2E 65 78 65 00 72 70 63 6E 65 74 70 00}
$b2 = {54 61 67 49 64 00}
condition:
($mz at 0 ) and ($a or ($b1 and $b2))
}
https://asert.arbornetworks.com/lojack-becomes-a-double-agent/
netscout.com
