Anzeige

Spyware

Cybereason, Unternehmen für den zukunftssicheren Schutz vor Cyber-Angriffen, stellt eine aktuelle Untersuchung seines Research-Teams vor. Das Cybereason Nocturnus Team hat eine neue modulare Spyware-Suite mit dem Namen KGH_SPY, sowie einen neuen Malware-Stamm namens CSPY Downloader identifiziert.

Beide kommen bei Angriffen der Cyber-Spionagegruppe Kimsuky zum Einsatz, von der man annimmt, dass sie im Auftrag des nordkoreanischen Regimes operiert. 

Man konnte beobachten, dass die APT-Gruppe inzwischen auf ein breites Spektrum von Opfern abzielt, darunter Unternehmen des öffentlichen und privaten Sektors in den USA, Europa, Japan, Südkorea und Russland. Zu den anvisierten Organisationen gehören Pharma- und Forschungsunternehmen, die an COVID-19-Therapien arbeiten, Regierungs- und Verteidigungsorganisationen, Journalisten und verschiedene Menschenrechtsgruppen.

Die wichtigsten Ergebnisse:

  • Entdeckung einer neuen modularen Spyware-Suite:  KGH_SPY ist eine modulare Tool-Suite; sie bietet Angreifern Funktionen zum Auskundschaften, zum Keylogging, für den Datendiebstahl und zusätzliche Backdoor-Fähigkeiten.
  • Entdeckung einer verdeckt arbeitenden neuen (Stealth) Malware: Der CSPY Downloader ist ein Tool, das entwickelt wurde, um Analyse-Funktionen zu umgehen und zusätzliche Payloads herunterzuladen.
  • Neue Infrastruktur: Eine neu entdeckte Infrastruktur, die zwischen 2019-2020 registriert wurde; sie weist Überschneidungen mit einer anderen Kimsuky-Malware namens BabyShark auf. In der Vergangenheit wurde sie verwendet, um US-basierte Think Tanks ins Visier zu nehmen.
  • Anti-Forensik: Die im Report untersuchten Zeitstempel für die Erstellung und Kompilierung der Malware scheinen manipuliert und auf 2016 zurückdatiert worden zu sein, um forensische Ermittlungen zu vereiteln.
  • Ähnlichkeiten bei Verhalten und Code zu anderer Kimsuky-Malware: Die neu entdeckte Malware zeigt verschiedene Ähnlichkeiten im Verhalten und beim Code zu bereits bekannter Kimsuky-Malware, unter anderem: Code-Signierung mit widerrufenem EGIS- Zertifikat; gemeinsam genutzte Strings; File Naming Conventions, Algorithmen zur Entschlüsselung von Strings, PDB-Pfade, die auf Autoren/Projekte verweisen.
  • Von Antiviren-Lösungen nicht erkannt: Zum Zeitpunkt der Erstellung dieses Berichts werden einige der genannten Tools von keinem Antiviren-Anbieter erkannt, ausgenommen von Cybereason. 
  • Zu den früheren Zielen der Malware zählen: Pharma- und Forschungsunternehmen, die an COVID-19-Impfstoffen und -Therapien arbeiten, der UN-Sicherheitsrat, das südkoreanische Vereinigungsministerium, verschiedene Menschenrechtsorganisationen, das Korea Institute for Defense Analysis, Bildungseinrichtungen und akademische Organisationen, diverse Think Tanks, staatliche Forschungsinstitute, Journalisten, die über die Beziehungen zur koreanischen Halbinsel berichten sowie das südkoreanische Militär. 

Kimsuky (alias Velvet Chollima, Black Banshee und Thallium) ist seit 2012 aktiv und bekannt für seine komplexe Infrastruktur, die frei registrierte Domains, kompromittierte Domains und von der Gruppe registrierte private Domains nutzt. Das Cybereason Nocturnus Team beobachtete auch Überschneidungen in der Betriebssystem-Infrastruktur mit der BabyShark-Malware und Verbindungen zu Malware wie der AppleSeed-Backdoor. 

Die KGH_SPY-Suite scheint bösartige, in Word-Dokumente eingebundene Makros als Infektionsvektor zu nutzen. Die Malware umfasst verschiedene Komponenten, die zum Sammeln von Informationen, Ausführen beliebiger Befehle und Ausspionieren der Benutzeraktivitäten mit Hilfe eines Keyloggers und einer Backdoor-Komponente verwendet werden. Einige der Komponenten der KGH Spyware-Suite bleiben bislang von den Antiviren-Herstellern unentdeckt.

Der CSPY Downloader ist ein hochentwickeltes Tool mit umfangreichen Anti-Analyse- und Ausweichfunktionen, mit denen die Angreifer feststellen können, ob „die Luft rein ist“, bevor sie zusätzliche Payloads herunterladen. Neben den Phishing-Dokumenten, die sich auf Themen mit Bezug zur koreanischen Sprache konzentrieren, enthalten andere forensische Beweise, die in der Malware selbst eingebettet sind, koreanische Sprachschnipsel aus der Zeit der Erstellung der Malware.

Assaf Dahan, Senior Director und Head of Threat Research bei Cybereason erklärt: „Kimsuky verfügt über eine reiche und berühmt-berüchtigte Geschichte. Sie geht bis ins Jahr 2012 zurück, als Südkorea verstärkt ins Visier genommen wurde. In den letzten Jahren hat Kimsuky allerdings seine globale Reichweite vergrößert. Unsere neueste Entdeckung zeigt, dass Kimsuky gezielte Cyber-Spionagekampagnen gegen eine Reihe von Opfern, darunter Regierungen, Forschungsinstitute und Menschenrechtsgruppen, durchführt. Da die Malware recht neu ist, ist das tatsächliche Ausmaß der von ihr ausgehenden Bedrohung noch weitgehend unbekannt. Aber angesichts der Erfolgsbilanz von Kimsuky ist diese Spyware wahrscheinlich sowohl für Organisationen des öffentlichen als auch des privaten Sektors von großer Bedeutung und gibt Anlass zu Besorgnis.“ 

https://www.cybereason.com/


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cyberattacke

Weitere Verdopplung der Cyberattacken im dritten Quartal

Im dritten Quartal des Jahres mussten die Cyber-Defense-Spezialisten aus Bochum fast doppelt so viele Cyber-Angriffe wie im zweiten Quartal 2020 abwehren. Mit großen Kampagnen attackieren Angreifer sowohl private Rechner, als auch Firmennetzwerke. Besonders…

Digitale Sicherheit in der Vorweihnachtszeit

Mitte 2020 hat das Cybereason Research Team eine aktive Malware-Kampagne entdeckt, die brasilianische Kunden von MercadoLivre, einem der größten Online-Markplätze Lateinamerikas, ins Visier genommen hat.
Datendiebstahl

86 Prozent der Verbraucher Opfer von Identitätsdiebstahl & Co.

86 Prozent der Verbraucher sind in diesem Jahr Opfer von Identitätsdiebstahl, Kredit-/Debitkartenbetrug oder einer Datenschutzverletzung geworden. Das ergab eine aktuelle Studie von OpSec Security. 2019 lag dieser Anteil noch bei 80 Prozent. Das jährliche…
Hacked

Cyber Crime: Im Notfall einen kühlen Kopf bewahren

Canon, Xerox, Carnival Cruises: Immer wieder werden namhafte Unternehmen verschiedener Branchen Opfer von Cyberkriminalität. Doch es trifft längst nicht mehr nur die „Großen“. Im Gegenteil: Die Hacker haben Unternehmen vom kleinen Mittelständler bis zum…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!