Anzeige

Hacker

Die Experten von Kaspersky Lab (GReAT) haben mehrere Infektionen eines bisher unbekannten Trojaners entdeckt, der höchstwahrscheinlich vom chinesischsprachigen Bedrohungsakteur ,LuckyMouse‘ stammt.

Die Malware ist mit einem außergewöhnlichen Treiber ausgestattet, der mit einem legitimen digitalen Zertifikat eines Herstellers für Security-Software signiert ist.

Die Gruppe LuckyMouse ist bekannt für zielgerichtete Cyberangriffe auf große Unternehmen weltweit. Die Aktivitäten der Gruppe stellen eine Gefahr für ganze Regionen dar, da ihre Angriffe eine politische Agenda zu haben scheinen. Erst im vergangenen Juni hatte die Gruppe ein Datenzentrum in Zentralasien im Visier. Kaspersky Lab vermutet aus der Analyse der Opferprofile und der bisherigen Angriffsvektoren der Gruppe, dass der entdeckte Trojaner möglicherweise für staatlich unterstützte Cyberspionage eingesetzt wurde.

Kaspersky-Report zeigt Vorgehen von LuckyMouse

Der von Kaspersky Lab entdeckte Trojaner infizierte einen anvisierten Computer mit einem Treiber, der von den Bedrohungsakteuren selbst erstellt wurde. Damit konnten die Angreifer übliche Aufgaben wie Befehlsausführung, Down- und Upload von Dateien ausführen sowie den Netzwerkverkehr abfangen.

Der Treiber wurde offenbar mit einem gestohlenen digitalen Zertifikat versehen, das ursprünglich von einem Softwarehersteller für Informationssicherheit stammt, um ihn als vertrauenswürdig einstufen zu lassen. Damit sollte verhindert werden, dass die Malware-Samples von Sicherheitslösungen entdeckt werden – eine legitime Signatur lässt die Malware als legale Software erscheinen.

Obwohl der Akteur LuckyMouse in der Lage ist, selbst eigene schädliche Software zu erstellen, wurde für die verwendete Software scheinbar eine Kombination aus öffentlich zugänglichem Code aus öffentlichen Quellen und eigener Malware verwendet. Der Einsatz von gebrauchsfertigen Codes von Drittanbietern, anstatt eigenen Code zu schreiben, spart den Entwicklern Zeit und erschwert zudem die Zuschreibung (Attribuierung).

„LuckyMouse-Kampagnen erscheinen fast immer im Vorlauf eines hochkarätigen politischen Ereignisses und der Zeitpunkt eines Angriffs geht normalerweise einer Veranstaltung mit hochrangigen Politikern voraus“, so Denis Legezo, Sicherheitsforscher bei Kaspersky Lab.

Sicherheitsempfehlungen von Kaspersky Lab

  • Trotz digitalem Zertifikat können Backdoor-Programme in der Software enthalten sein; dem Code auf dem System sollte nicht automatisch vertraut werden.
  • Eine robuste Sicherheitslösung mit Verhaltenserkennungstechnologie erkennt selbst unbekannte Bedrohungen.
  • Threat-Intelligence-Services wie Kaspersky Threat Intelligence gewähren frühen Zugang zu Informationen über die neuesten Entwicklungen in puncto Taktiken, Techniken und Vorgehensweisen von komplexen Bedrohungsakteuren.

Mehr Informationen zur Gruppe LuckyMouse und deren Vorgehensweise unter https://securelist.com/luckymouse-ndisproxy-driver/87914/
 


Weitere Artikel

Bitcoin Smartphone

iPhone-Krypto-Betrug eskaliert nun auch in Europa

Neue Erkenntnisse von Sophos deuten darauf hin, dass der internationale Cyber-Betrug mit Kryptowährung eskaliert. Cyberkriminelle nutzen beliebte Dating-Apps wie Tinder und Bumble, um iPhones von arglosen Nutzern:innen für ihre betrügerischen Machenschaften…
Hacker

Wenn Prometheus das Feuer stiehlt

Moderne Versionen der Open-Source-Lösung Prometheus unterstützen Sicherheitsmechanismen wie Basisauthentifizierung und TLS, die explizit konfiguriert werden müssen und nicht standardmäßig aktiviert sind. Andernfalls können Hacker leicht sensible Informationen…
Hackerangriff

Reaktionszeit auf Cyberangriffe dauert mehr als zwei Arbeitstage

Deep Instinct, Entwickler eines Deep-Learning-Framework für Cybersicherheit, veröffentlicht mit der zweiten Ausgabe des halbjährlichen Voice of SecOps Reports neue Zahlen zur aktuellen Cyber-Bedrohungslage zu der weltweit Cybersicherheitsexperten befragt…
Ransomware

1 von 5 Unternehmen war schon Opfer von Ransomware

Eine kürzlich durchgeführte Umfrage der Cybersecurity-Experten von Hornetsecurity unter mehr als 820 Unternehmen ergab, dass 21 % der Befragten bereits Opfer eines Ransomware-Angriffs wurden. Ransomware ist eine der häufigsten und effektivsten Formen der…
Cybercrime

NSA warnt vor Wildcard-Zertifikaten und Alpaca-Angriffen

Die NSA hat Anfang Oktober eine Warnung und Anleitung herausgegeben, wie sich Unternehmen vor Alpaca-Angriffen schützen können, indem sie ihre Wildcard-Zertifikate besser kontrollieren. Die NSA warnt vor dem neuen Application Layer Protocol Content Confusion…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.