Anzeige

Anzeige

Spyware

Cybereason, Unternehmen für den zukunftssicheren Schutz vor Cyber-Angriffen, stellt eine aktuelle Untersuchung seines Research-Teams vor. Das Cybereason Nocturnus Team hat eine neue modulare Spyware-Suite mit dem Namen KGH_SPY, sowie einen neuen Malware-Stamm namens CSPY Downloader identifiziert.

Beide kommen bei Angriffen der Cyber-Spionagegruppe Kimsuky zum Einsatz, von der man annimmt, dass sie im Auftrag des nordkoreanischen Regimes operiert. 

Man konnte beobachten, dass die APT-Gruppe inzwischen auf ein breites Spektrum von Opfern abzielt, darunter Unternehmen des öffentlichen und privaten Sektors in den USA, Europa, Japan, Südkorea und Russland. Zu den anvisierten Organisationen gehören Pharma- und Forschungsunternehmen, die an COVID-19-Therapien arbeiten, Regierungs- und Verteidigungsorganisationen, Journalisten und verschiedene Menschenrechtsgruppen.

Die wichtigsten Ergebnisse:

  • Entdeckung einer neuen modularen Spyware-Suite:  KGH_SPY ist eine modulare Tool-Suite; sie bietet Angreifern Funktionen zum Auskundschaften, zum Keylogging, für den Datendiebstahl und zusätzliche Backdoor-Fähigkeiten.
  • Entdeckung einer verdeckt arbeitenden neuen (Stealth) Malware: Der CSPY Downloader ist ein Tool, das entwickelt wurde, um Analyse-Funktionen zu umgehen und zusätzliche Payloads herunterzuladen.
  • Neue Infrastruktur: Eine neu entdeckte Infrastruktur, die zwischen 2019-2020 registriert wurde; sie weist Überschneidungen mit einer anderen Kimsuky-Malware namens BabyShark auf. In der Vergangenheit wurde sie verwendet, um US-basierte Think Tanks ins Visier zu nehmen.
  • Anti-Forensik: Die im Report untersuchten Zeitstempel für die Erstellung und Kompilierung der Malware scheinen manipuliert und auf 2016 zurückdatiert worden zu sein, um forensische Ermittlungen zu vereiteln.
  • Ähnlichkeiten bei Verhalten und Code zu anderer Kimsuky-Malware: Die neu entdeckte Malware zeigt verschiedene Ähnlichkeiten im Verhalten und beim Code zu bereits bekannter Kimsuky-Malware, unter anderem: Code-Signierung mit widerrufenem EGIS- Zertifikat; gemeinsam genutzte Strings; File Naming Conventions, Algorithmen zur Entschlüsselung von Strings, PDB-Pfade, die auf Autoren/Projekte verweisen.
  • Von Antiviren-Lösungen nicht erkannt: Zum Zeitpunkt der Erstellung dieses Berichts werden einige der genannten Tools von keinem Antiviren-Anbieter erkannt, ausgenommen von Cybereason. 
  • Zu den früheren Zielen der Malware zählen: Pharma- und Forschungsunternehmen, die an COVID-19-Impfstoffen und -Therapien arbeiten, der UN-Sicherheitsrat, das südkoreanische Vereinigungsministerium, verschiedene Menschenrechtsorganisationen, das Korea Institute for Defense Analysis, Bildungseinrichtungen und akademische Organisationen, diverse Think Tanks, staatliche Forschungsinstitute, Journalisten, die über die Beziehungen zur koreanischen Halbinsel berichten sowie das südkoreanische Militär. 

Kimsuky (alias Velvet Chollima, Black Banshee und Thallium) ist seit 2012 aktiv und bekannt für seine komplexe Infrastruktur, die frei registrierte Domains, kompromittierte Domains und von der Gruppe registrierte private Domains nutzt. Das Cybereason Nocturnus Team beobachtete auch Überschneidungen in der Betriebssystem-Infrastruktur mit der BabyShark-Malware und Verbindungen zu Malware wie der AppleSeed-Backdoor. 

Die KGH_SPY-Suite scheint bösartige, in Word-Dokumente eingebundene Makros als Infektionsvektor zu nutzen. Die Malware umfasst verschiedene Komponenten, die zum Sammeln von Informationen, Ausführen beliebiger Befehle und Ausspionieren der Benutzeraktivitäten mit Hilfe eines Keyloggers und einer Backdoor-Komponente verwendet werden. Einige der Komponenten der KGH Spyware-Suite bleiben bislang von den Antiviren-Herstellern unentdeckt.

Der CSPY Downloader ist ein hochentwickeltes Tool mit umfangreichen Anti-Analyse- und Ausweichfunktionen, mit denen die Angreifer feststellen können, ob „die Luft rein ist“, bevor sie zusätzliche Payloads herunterladen. Neben den Phishing-Dokumenten, die sich auf Themen mit Bezug zur koreanischen Sprache konzentrieren, enthalten andere forensische Beweise, die in der Malware selbst eingebettet sind, koreanische Sprachschnipsel aus der Zeit der Erstellung der Malware.

Assaf Dahan, Senior Director und Head of Threat Research bei Cybereason erklärt: „Kimsuky verfügt über eine reiche und berühmt-berüchtigte Geschichte. Sie geht bis ins Jahr 2012 zurück, als Südkorea verstärkt ins Visier genommen wurde. In den letzten Jahren hat Kimsuky allerdings seine globale Reichweite vergrößert. Unsere neueste Entdeckung zeigt, dass Kimsuky gezielte Cyber-Spionagekampagnen gegen eine Reihe von Opfern, darunter Regierungen, Forschungsinstitute und Menschenrechtsgruppen, durchführt. Da die Malware recht neu ist, ist das tatsächliche Ausmaß der von ihr ausgehenden Bedrohung noch weitgehend unbekannt. Aber angesichts der Erfolgsbilanz von Kimsuky ist diese Spyware wahrscheinlich sowohl für Organisationen des öffentlichen als auch des privaten Sektors von großer Bedeutung und gibt Anlass zu Besorgnis.“ 

https://www.cybereason.com/


Weitere Artikel

Social Engineering

Social Engineering-Angriff? Erst Informationen sammeln, dann losschlagen!

Lassen sich Mitarbeitende eines Unternehmens so manipulieren, dass sie Informationen preisgeben, schädliche Links anklicken oder infizierte Anhänge öffnen? Ja, meinen die IT-Sicherheitsexperten der PSW GROUP.
Trojaner

Trojanische Pferde in der Klinik-IT

Cyberangriffe auf die heimische Gesundheits-Infrastruktur haben in den letzten Monaten massiv zugenommen – die Einfallstore für Hacker sind dabei vielfältig.
EM 2021

Cyberbedrohungen der EM 2021: COVID-19 als neuer Spieler

Dass internationale Veranstaltungen ideale Rahmenbedingungen für Cyberkriminelle bieten, ist nicht neu. Die Fußball-Europameisterschaft 2021 könnte jedoch in dieser Hinsicht alles Bisherige übertreffen.
Gefahr

Neue APT-Gruppe nimmt gezielt Diplomaten ins Visier

ESET-Forscher haben eine neue APT-Gruppe namens BackdoorDiplomacy entdeckt. Die Hacker haben es vor allem auf Außenministerien im Nahen Osten und in Afrika abgesehen.
Hacker

Angriffe auf KRITIS - Ändern Hacker ihre Strategie?

Cyberkriminelle nehmen immer häufiger kritische Infrastrukturen ins Visier und richten damit weltweite Schäden an. Sind die Angriffe auf JBS und Colonial Pipeline Zeichen für einen Strategiewechsel?
Cyber Crime

MS Exchange-Sicherheitslücke ist Cybercrime-Treiber

Wie lauten die aktuellen Sicherheitsbedrohungen für Privatanwender und Unternehmen? Wie sehen die derzeitigen Aktivitäten der Hackergruppen aus? Antworten auf diese und weitere Fragen gibt regelmäßig der ESET Threat Report.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.