Anzeige

Spyware

Cybereason, Unternehmen für den zukunftssicheren Schutz vor Cyber-Angriffen, stellt eine aktuelle Untersuchung seines Research-Teams vor. Das Cybereason Nocturnus Team hat eine neue modulare Spyware-Suite mit dem Namen KGH_SPY, sowie einen neuen Malware-Stamm namens CSPY Downloader identifiziert.

Beide kommen bei Angriffen der Cyber-Spionagegruppe Kimsuky zum Einsatz, von der man annimmt, dass sie im Auftrag des nordkoreanischen Regimes operiert. 

Man konnte beobachten, dass die APT-Gruppe inzwischen auf ein breites Spektrum von Opfern abzielt, darunter Unternehmen des öffentlichen und privaten Sektors in den USA, Europa, Japan, Südkorea und Russland. Zu den anvisierten Organisationen gehören Pharma- und Forschungsunternehmen, die an COVID-19-Therapien arbeiten, Regierungs- und Verteidigungsorganisationen, Journalisten und verschiedene Menschenrechtsgruppen.

Die wichtigsten Ergebnisse:

  • Entdeckung einer neuen modularen Spyware-Suite:  KGH_SPY ist eine modulare Tool-Suite; sie bietet Angreifern Funktionen zum Auskundschaften, zum Keylogging, für den Datendiebstahl und zusätzliche Backdoor-Fähigkeiten.
  • Entdeckung einer verdeckt arbeitenden neuen (Stealth) Malware: Der CSPY Downloader ist ein Tool, das entwickelt wurde, um Analyse-Funktionen zu umgehen und zusätzliche Payloads herunterzuladen.
  • Neue Infrastruktur: Eine neu entdeckte Infrastruktur, die zwischen 2019-2020 registriert wurde; sie weist Überschneidungen mit einer anderen Kimsuky-Malware namens BabyShark auf. In der Vergangenheit wurde sie verwendet, um US-basierte Think Tanks ins Visier zu nehmen.
  • Anti-Forensik: Die im Report untersuchten Zeitstempel für die Erstellung und Kompilierung der Malware scheinen manipuliert und auf 2016 zurückdatiert worden zu sein, um forensische Ermittlungen zu vereiteln.
  • Ähnlichkeiten bei Verhalten und Code zu anderer Kimsuky-Malware: Die neu entdeckte Malware zeigt verschiedene Ähnlichkeiten im Verhalten und beim Code zu bereits bekannter Kimsuky-Malware, unter anderem: Code-Signierung mit widerrufenem EGIS- Zertifikat; gemeinsam genutzte Strings; File Naming Conventions, Algorithmen zur Entschlüsselung von Strings, PDB-Pfade, die auf Autoren/Projekte verweisen.
  • Von Antiviren-Lösungen nicht erkannt: Zum Zeitpunkt der Erstellung dieses Berichts werden einige der genannten Tools von keinem Antiviren-Anbieter erkannt, ausgenommen von Cybereason. 
  • Zu den früheren Zielen der Malware zählen: Pharma- und Forschungsunternehmen, die an COVID-19-Impfstoffen und -Therapien arbeiten, der UN-Sicherheitsrat, das südkoreanische Vereinigungsministerium, verschiedene Menschenrechtsorganisationen, das Korea Institute for Defense Analysis, Bildungseinrichtungen und akademische Organisationen, diverse Think Tanks, staatliche Forschungsinstitute, Journalisten, die über die Beziehungen zur koreanischen Halbinsel berichten sowie das südkoreanische Militär. 

Kimsuky (alias Velvet Chollima, Black Banshee und Thallium) ist seit 2012 aktiv und bekannt für seine komplexe Infrastruktur, die frei registrierte Domains, kompromittierte Domains und von der Gruppe registrierte private Domains nutzt. Das Cybereason Nocturnus Team beobachtete auch Überschneidungen in der Betriebssystem-Infrastruktur mit der BabyShark-Malware und Verbindungen zu Malware wie der AppleSeed-Backdoor. 

Die KGH_SPY-Suite scheint bösartige, in Word-Dokumente eingebundene Makros als Infektionsvektor zu nutzen. Die Malware umfasst verschiedene Komponenten, die zum Sammeln von Informationen, Ausführen beliebiger Befehle und Ausspionieren der Benutzeraktivitäten mit Hilfe eines Keyloggers und einer Backdoor-Komponente verwendet werden. Einige der Komponenten der KGH Spyware-Suite bleiben bislang von den Antiviren-Herstellern unentdeckt.

Der CSPY Downloader ist ein hochentwickeltes Tool mit umfangreichen Anti-Analyse- und Ausweichfunktionen, mit denen die Angreifer feststellen können, ob „die Luft rein ist“, bevor sie zusätzliche Payloads herunterladen. Neben den Phishing-Dokumenten, die sich auf Themen mit Bezug zur koreanischen Sprache konzentrieren, enthalten andere forensische Beweise, die in der Malware selbst eingebettet sind, koreanische Sprachschnipsel aus der Zeit der Erstellung der Malware.

Assaf Dahan, Senior Director und Head of Threat Research bei Cybereason erklärt: „Kimsuky verfügt über eine reiche und berühmt-berüchtigte Geschichte. Sie geht bis ins Jahr 2012 zurück, als Südkorea verstärkt ins Visier genommen wurde. In den letzten Jahren hat Kimsuky allerdings seine globale Reichweite vergrößert. Unsere neueste Entdeckung zeigt, dass Kimsuky gezielte Cyber-Spionagekampagnen gegen eine Reihe von Opfern, darunter Regierungen, Forschungsinstitute und Menschenrechtsgruppen, durchführt. Da die Malware recht neu ist, ist das tatsächliche Ausmaß der von ihr ausgehenden Bedrohung noch weitgehend unbekannt. Aber angesichts der Erfolgsbilanz von Kimsuky ist diese Spyware wahrscheinlich sowohl für Organisationen des öffentlichen als auch des privaten Sektors von großer Bedeutung und gibt Anlass zu Besorgnis.“ 

https://www.cybereason.com/


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cyber Security

COVID-19-Kontext: eMail-Server als Hauptziele von Angriffen

Das IT-Sicherheitsunternehmen Tenable veröffentlichte vor Kurzem eine fundierte Analyse der signifikantesten Datensicherheitsverletzungen aus dem vergangenen Jahr.
Firefox Hacker

FriarFox: Malware-Erweiterung für Firefox spioniert Gmail-Konten aus

Sicherheitsforscher von Proofpoint haben eine neue Cyberattacke entdeckt. Über eine bösartige Browser-Erweiterung für Mozilla Firefox in Kombination mit der Scanbox-Malware gelang es Kriminellen, die Gmail-Konten ihrer Opfer zu übernehmen.
Cybercrime

Phishing- und Malware-Kampagnen mit COVID-19-Bezug

Das IT-Sicherheitsunternehmen Tenable veröffentlichte vor Kurzem eine fundierte Analyse der signifikantesten Datensicherheitsverletzungen aus dem vergangenen Jahr. Der Bericht „Rückblick auf die Bedrohungslandschaft 2020“ analysiert unter anderem die…
Business Email Compromise

Business E-Mail Compromise: Weniger Technik, höhere Schäden

Ransomware ist unbestritten eine der größten Cyberbedrohungen für Unternehmen. Immer neue medienwirksame Fälle und die sich ständig weiterentwickelnde Technik haben ihren Teil dazu beigetragen, dass sich mittlerweile die meisten Unternehmen dieser Gefahr…
Hacker

Darknet: Der Aufstieg der Initial Access Broker durch das Home-Office

Home-Office in der Corona-Pandemie und neuer Malware-Technologien haben 2020 zu einem sprunghaften Anstieg beim Handel mit kompromittierten bzw. gehackten Fernzugriffen (Remote Access) geführt. Angebote rund um RDP-, VPN- und Citrix-Gateways haben einen neuen…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!