Anzeige

Spyware

Das Cybereason Nocturnus-Team hat die Aktivitäten verschiedener nordkoreanischer Bedrohungsakteure nachverfolgt. Darunter befindet sich ein Cyberspionagegruppe namens „Kimsuky” (alias Velvet Chollima, Black Banshee und Thallium), die seit mindestens 2012 aktiv ist, und vermutlich im Auftrag des nordkoreanischen Regimes operiert.

Die Gruppe kann eine lange und gleichermaßen berüchtigte Vergangenheit hinsichtlich offensiver Cyberoperationen weltweit vorweisen. Früher hat sich die Gruppe in erster Linie auf koreanische Think Tanks konzentriert, aber in den letzten Jahren hat sie ihre Ziele auf andere Länder wie die Vereinigten Staaten, Russland und Länder in Europa ausgedehnt. Ins Visier der Angreifer sind nachweislich Unternehmen und Organisationen wie diese geraten:

  • Pharma-/Forschungsunternehmen, die an Impfstoffen gegen COVID-19 und neuen Therapien arbeiten
  • UN-Sicherheitsrat
  • Ministry of Unification
  • Bürgerrechtsorganisationen
  • Korean Institute for Defense Analyses (KIDA)
  • Bildung und Wissenschaft
  • Think Tanks
  • Staatliche Forschungsinstitute
  • Journalisten, die über die Beziehungen zwischen Süd- und Nordkorea berichten
  • Militär

Am 27. Oktober veröffentlichte das US-CERT einen Report, der die jüngsten Aktivitäten der Kimsuky-Gruppe zusammenfasst sowie die TTPs und die Infrastruktur der Gruppe beschreibt. Im Nachgang zu diesem Report hat das Nocturnus-Team in Zusammenhang mit den von Cybereason im Laufe der Zeit gesammelten Informationen eine bisher nicht dokumentierte, modulare Spyware mit Namen "KGH_SPY" entdeckt. Sie bietet den Bedrohungsakteuren diverse Möglichkeiten für die verdeckte Durchführung ihrer Spionageoperationen.  

Darüber hinaus hat Cybereason eine weitere Malware namens "CSPY_Loader" identifiziert, ein ausgeklügeltes Tool mit umfangreichen Anti-Analyse-Techniken und solchen zur Umgehung von Abwehrmechanismen. So stellen die Angreifer sicher, dass "die Luft rein ist", bevor sie den Download der eigentlichen Schadsoftware starten. 

Schließlich ist es dem Nocturnus-Team noch gelungen, eine neue, von der Gruppe verwendete Server-Infrastruktur aufdecken, die deutliche Überschneidungen mit der zuvor dokumentierten Kimsuky-Infrastruktur aufweist. 

Die wichtigsten Ergebnisse auf einen Blick:

  • Entdeckung einer neuen, modularen Spyware-Suite: „KGH_SPY“ ist eine modulare Tool-Suite, die den Bedrohungsakteuren umfangreiche Funktionen bietet. Dazu zählen solche zur Aufklärung, zum Keylogging sowie Funktionen, die dem Informationsdiebstahl und dem Einbau von Backdoors dienen. 
  • Identifizierung einer verdeckt operierenden Malware: "CSPY_Loader" ist ein Tool, um Sicherheitsanalysen zu umgehen und zusätzliche Payloads ans Ziel zu bringen. 
  • Neue Infrastruktur, die sich mit anderen überschneidet: Dazu zählt die der Malware BabyShark, die in der Vergangenheit benutzt wurde, um US Think Tanks anzugreifen.
  • Wird von Antiviren-Anbietern nicht erkannt: Zum Zeitpunkt als dieser Bericht abgefasst wurde, werden einige der genannten Tools von keinem Anbieter von Antiviren-Lösungen erkannt. 
     

KGH Spyware-Suite

Bei der Analyse entdeckte das Nocturnus-Team eine neue Malware-Suite mit dem Namen "KGH_SPY". Sie enthält verschiedene Komponenten zum Sammeln von Informationen, um beliebige Befehle auszuführen und Benutzeraktivitäten mithilfe eines Keyloggers auszuspionieren. Dieser enthält zusätzlich eine Backdoor-Funktion. Einige der Komponenten in der KGH Spyware-Suite werden derzeit nicht von den Anbietern von Antiviren-Programmen erkannt: 

 

 

Die Backdoor-Komponente enthält einen eingebetteten Befehlssatz, den sie von den Servern der Angreifer empfängt: 

Befehl

Beschreibung

upf

Dateien auf den C2 hochladen

tre

Mit dem Befehl "tree" eine Liste aller Dateien im System erstellen, in einer Datei mit dem Namen "c.txt" speichern und Datei auf den C2 hochladen

wbi

Browser-Stealer-Modul „m.dll“ herunterladen und gestohlene Daten exfiltrieren.

cmd

Einen cmd-Befehl ausführen

pws

Einen Powershell-Befehl ausführen 

 

Die Infostealer-Komponente entwendet diverse Informationen (wie Cookies, Anmeldeinformationen), die in folgenden Anwendungen gespeichert sind: 

  • Browser: Chrome, IE / Edge, Firefox, Opera
  • WinSCP-Client
  • Windows Credential Manager
  • Mozilla Thunderbird Mail Client

CSPY_Loader - Neuer verdeckter Loader

Die Nachverfolgung der neuen Infrastruktur führte zusätzlich zur Entdeckung einer weiteren bösartigen ausführbaren Datei, die mit einigen der C2-Server kommuniziert. Abgesehen von den Phishing-Dokumenten, die anscheinend Themen im Zusammenhang mit Nordkorea enthalten, gibt es weitere forensische Beweise, die in der Malware eingebettet sind. Dazu zählen Spuren der koreanischen Sprache wie sie zum Zeitpunkt der Malware-Erstellung verwendet wurde:

 

Die Malware enthält eine sehr lange Liste von Checks, wie man Analysen – etwa virtuelle Maschinen - und verschiedene Sicherheitstools umgehen kann: 

Die vollständige Untersuchung sollte hier zum Download verfügbar sein.

Eine Untersuchung von: Assaf Dahan, Lior Rochberger, Daniel Frank und Tom Fakterman, https://www.cybereason.com/


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

DDos-Attacke
Nov 05, 2020

Gesundheitswesen nicht ausreichend gegen Cyberattacken geschützt

Deutschlands Gesundheitsinfrastruktur sieht sich einer steigenden Cyber-Bedrohung…

Weitere Artikel

Cyber Security

COVID-19-Kontext: eMail-Server als Hauptziele von Angriffen

Das IT-Sicherheitsunternehmen Tenable veröffentlichte vor Kurzem eine fundierte Analyse der signifikantesten Datensicherheitsverletzungen aus dem vergangenen Jahr.
Firefox Hacker

FriarFox: Malware-Erweiterung für Firefox spioniert Gmail-Konten aus

Sicherheitsforscher von Proofpoint haben eine neue Cyberattacke entdeckt. Über eine bösartige Browser-Erweiterung für Mozilla Firefox in Kombination mit der Scanbox-Malware gelang es Kriminellen, die Gmail-Konten ihrer Opfer zu übernehmen.
Cybercrime

Phishing- und Malware-Kampagnen mit COVID-19-Bezug

Das IT-Sicherheitsunternehmen Tenable veröffentlichte vor Kurzem eine fundierte Analyse der signifikantesten Datensicherheitsverletzungen aus dem vergangenen Jahr. Der Bericht „Rückblick auf die Bedrohungslandschaft 2020“ analysiert unter anderem die…
Business Email Compromise

Business E-Mail Compromise: Weniger Technik, höhere Schäden

Ransomware ist unbestritten eine der größten Cyberbedrohungen für Unternehmen. Immer neue medienwirksame Fälle und die sich ständig weiterentwickelnde Technik haben ihren Teil dazu beigetragen, dass sich mittlerweile die meisten Unternehmen dieser Gefahr…
Hacker

Darknet: Der Aufstieg der Initial Access Broker durch das Home-Office

Home-Office in der Corona-Pandemie und neuer Malware-Technologien haben 2020 zu einem sprunghaften Anstieg beim Handel mit kompromittierten bzw. gehackten Fernzugriffen (Remote Access) geführt. Angebote rund um RDP-, VPN- und Citrix-Gateways haben einen neuen…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!