Anzeige

Spyware

Cybereason, Unternehmen für den zukunftssicheren Schutz vor Cyber-Angriffen, stellt eine aktuelle Untersuchung seines Research-Teams vor. Das Cybereason Nocturnus Team hat eine neue modulare Spyware-Suite mit dem Namen KGH_SPY, sowie einen neuen Malware-Stamm namens CSPY Downloader identifiziert.

Beide kommen bei Angriffen der Cyber-Spionagegruppe Kimsuky zum Einsatz, von der man annimmt, dass sie im Auftrag des nordkoreanischen Regimes operiert. 

Man konnte beobachten, dass die APT-Gruppe inzwischen auf ein breites Spektrum von Opfern abzielt, darunter Unternehmen des öffentlichen und privaten Sektors in den USA, Europa, Japan, Südkorea und Russland. Zu den anvisierten Organisationen gehören Pharma- und Forschungsunternehmen, die an COVID-19-Therapien arbeiten, Regierungs- und Verteidigungsorganisationen, Journalisten und verschiedene Menschenrechtsgruppen.

Die wichtigsten Ergebnisse:

  • Entdeckung einer neuen modularen Spyware-Suite:  KGH_SPY ist eine modulare Tool-Suite; sie bietet Angreifern Funktionen zum Auskundschaften, zum Keylogging, für den Datendiebstahl und zusätzliche Backdoor-Fähigkeiten.
  • Entdeckung einer verdeckt arbeitenden neuen (Stealth) Malware: Der CSPY Downloader ist ein Tool, das entwickelt wurde, um Analyse-Funktionen zu umgehen und zusätzliche Payloads herunterzuladen.
  • Neue Infrastruktur: Eine neu entdeckte Infrastruktur, die zwischen 2019-2020 registriert wurde; sie weist Überschneidungen mit einer anderen Kimsuky-Malware namens BabyShark auf. In der Vergangenheit wurde sie verwendet, um US-basierte Think Tanks ins Visier zu nehmen.
  • Anti-Forensik: Die im Report untersuchten Zeitstempel für die Erstellung und Kompilierung der Malware scheinen manipuliert und auf 2016 zurückdatiert worden zu sein, um forensische Ermittlungen zu vereiteln.
  • Ähnlichkeiten bei Verhalten und Code zu anderer Kimsuky-Malware: Die neu entdeckte Malware zeigt verschiedene Ähnlichkeiten im Verhalten und beim Code zu bereits bekannter Kimsuky-Malware, unter anderem: Code-Signierung mit widerrufenem EGIS- Zertifikat; gemeinsam genutzte Strings; File Naming Conventions, Algorithmen zur Entschlüsselung von Strings, PDB-Pfade, die auf Autoren/Projekte verweisen.
  • Von Antiviren-Lösungen nicht erkannt: Zum Zeitpunkt der Erstellung dieses Berichts werden einige der genannten Tools von keinem Antiviren-Anbieter erkannt, ausgenommen von Cybereason. 
  • Zu den früheren Zielen der Malware zählen: Pharma- und Forschungsunternehmen, die an COVID-19-Impfstoffen und -Therapien arbeiten, der UN-Sicherheitsrat, das südkoreanische Vereinigungsministerium, verschiedene Menschenrechtsorganisationen, das Korea Institute for Defense Analysis, Bildungseinrichtungen und akademische Organisationen, diverse Think Tanks, staatliche Forschungsinstitute, Journalisten, die über die Beziehungen zur koreanischen Halbinsel berichten sowie das südkoreanische Militär. 

Kimsuky (alias Velvet Chollima, Black Banshee und Thallium) ist seit 2012 aktiv und bekannt für seine komplexe Infrastruktur, die frei registrierte Domains, kompromittierte Domains und von der Gruppe registrierte private Domains nutzt. Das Cybereason Nocturnus Team beobachtete auch Überschneidungen in der Betriebssystem-Infrastruktur mit der BabyShark-Malware und Verbindungen zu Malware wie der AppleSeed-Backdoor. 

Die KGH_SPY-Suite scheint bösartige, in Word-Dokumente eingebundene Makros als Infektionsvektor zu nutzen. Die Malware umfasst verschiedene Komponenten, die zum Sammeln von Informationen, Ausführen beliebiger Befehle und Ausspionieren der Benutzeraktivitäten mit Hilfe eines Keyloggers und einer Backdoor-Komponente verwendet werden. Einige der Komponenten der KGH Spyware-Suite bleiben bislang von den Antiviren-Herstellern unentdeckt.

Der CSPY Downloader ist ein hochentwickeltes Tool mit umfangreichen Anti-Analyse- und Ausweichfunktionen, mit denen die Angreifer feststellen können, ob „die Luft rein ist“, bevor sie zusätzliche Payloads herunterladen. Neben den Phishing-Dokumenten, die sich auf Themen mit Bezug zur koreanischen Sprache konzentrieren, enthalten andere forensische Beweise, die in der Malware selbst eingebettet sind, koreanische Sprachschnipsel aus der Zeit der Erstellung der Malware.

Assaf Dahan, Senior Director und Head of Threat Research bei Cybereason erklärt: „Kimsuky verfügt über eine reiche und berühmt-berüchtigte Geschichte. Sie geht bis ins Jahr 2012 zurück, als Südkorea verstärkt ins Visier genommen wurde. In den letzten Jahren hat Kimsuky allerdings seine globale Reichweite vergrößert. Unsere neueste Entdeckung zeigt, dass Kimsuky gezielte Cyber-Spionagekampagnen gegen eine Reihe von Opfern, darunter Regierungen, Forschungsinstitute und Menschenrechtsgruppen, durchführt. Da die Malware recht neu ist, ist das tatsächliche Ausmaß der von ihr ausgehenden Bedrohung noch weitgehend unbekannt. Aber angesichts der Erfolgsbilanz von Kimsuky ist diese Spyware wahrscheinlich sowohl für Organisationen des öffentlichen als auch des privaten Sektors von großer Bedeutung und gibt Anlass zu Besorgnis.“ 

https://www.cybereason.com/


Weitere Artikel

Cyberangriff

Cyberbedrohungen 2021: Phishing und Identitätsdiebstahl am wichtigsten

Das SANS Institute, Anbieter von Cybersecurity-Trainings und -Zertifizierungen, stellt die Ergebnisse seines SANS 2021 Top New Attacks and Threat Reports vor.
Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…
Ransomware

Großteil der Unternehmen zweifelt an eigener Ransomware-Resilienz

Anhaltende Cyberbedrohungen und neue Technologien wie Cloud-native Anwendungen, Kubernetes-Container und Künstliche Intelligenz stellen Unternehmen weltweit bei der Datensicherung vor große Herausforderungen. Das zeigt der Dell Technologies 2021 Global Data…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.