Anzeige

Backdoor

Ob digital oder analog: Ausfälle sind für die globale Frachtlogistik besonders heikel. Das hat erst jüngst die Blockierung des Suezkanals durch das Containerschiff "Ever Given" gezeigt. ESET-Forscher haben nun eine bisher unbekannte Backdoor entdeckt, die bei einem Angriff auf ein Frachtlogistikunternehmen in Südafrika verwendet wurde.

Hinter der Malware steckt die berüchtigte Lazarus-Gruppe. Hierfür haben die Security-Experten des europäischen IT-Sicherheitsherstellers Ähnlichkeiten mit früheren Operationen und Vorgehensweisen der Hacker-Gruppe entdeckt. Die Backdoor namens Vyveva besitzt mehrere Spionage-Funktionen, wie das Sammeln von Informationen auf dem Zielcomputer und deren Weiterleitung an Lazarus-Rechner. Auch eine Unterbrechung der IT-Systeme wäre möglich gewesen. Über das Tor-Netzwerk kommuniziert das Spionageprogramm mit seinem Command & Control (C&C)-Server. Ihre Ergebnisse haben die ESET-Forscher nun auf WeliveSecurity veröffentlicht.

"Vyveva weist zahlreiche Ähnlichkeiten im Code mit älteren Lazarus-Samples auf. Darüber hinaus deuten der Einsatz eines gefälschten TLS-Protokolls bei der Netzwerkkommunikation, die Verkettung von Kommandozeilen sowie die Art, wie die Verschlüsselung und die Tor-Dienste genutzt werden, auf die APT-Gruppe hin. Daher können wir die Backdoor mit hoher Wahrscheinlichkeit der Lazarus-Gruppe zuschreiben", sagt Filip Jurcacko, der ESET-Forscher, der Vyveva analysiert hat.

ESET-Forscher vermuten gezielten Angriff

Die Untersuchungen des europäischen IT-Sicherheitsherstellers deuten darauf hin, dass Vyveva gezielt eingesetzt wurde. Die ESET-Forscher konnten nur zwei Opferrechner finden, bei denen es sich um Server eines südafrikanischen Logistikunternehmens handelt. Bei der Analyse durch die ESET-Forscher kam heraus, dass Vyveva seit mindestens Dezember 2018 im Einsatz ist.

Kommunikation über das Tor-Netzwerk

Die Backdoor führt Befehle aus, die von der Hackergruppe ausgegeben werden, wie beispielsweise das Sammeln sensibler Daten. Auch gibt es einen Befehl, um Zeitstempel bei Dateien zu verändern. Die Kommunikation zum C&C-Server hält Vyveva über das Tor-Netzwerk und kontaktiert diesen in dreiminütigen Abständen. Dabei sendet das Spionageprogramm Informationen über den betroffenen Computer und seine Laufwerke. Hierbei kommen sogenannte Watchdogs zum Einsatz, die bei bestimmten Veränderungen am infizierten System eine Meldung an den C&C-Server schicken.

"Besonders interessant sind spezielle Watchdogs der Backdoor, die neu angeschlossene und abgetrennte Laufwerke überwachen. Auch gibt es einen Watchdog, der die Anzahl aktiver Sessions überwacht. Das kann zum Beispiel die Anzahl angemeldeter Benutzer sein. Diese Komponenten können eine Verbindung zum C&C-Server außerhalb des regulären, vorkonfigurierten Drei-Minuten-Intervalls auslösen", erklärt Jurcacko.

Logistik global vernetzt

Im weltweiten Warenhandel tauschen Logistikunternehmen untereinander Daten aus und sind häufig auch miteinander vernetzt. Daher ist es nicht auszuschließen, dass hier weitere Firmen von diesem Angriff betroffen sind.

Ihre gesamte Analyse haben die ESET-Forscher auf WeliveSecurity veröffentlicht.

www.eset.com/de
 


Weitere Artikel

Facebook Datenleak

Facebook Datenleak: Das steckt hinter dem Angriff

Die persönlichen Daten von insgesamt 533 Millionen Facebook-Usern stehen derzeit auf diversen cyberkriminellen Foren im Dark Web zum kostenlosen Download. Wie konnte es zu dem Datenleak kommen? Wer steckt hinter dem Angriff? Und wie hoch ist das Risiko für…
Exploit

Bisher unbekannter Zero-Day-Exploit in Desktop Window Manager

Im Zuge der Analyse des bekannten Exploits CVE-2021-1732 der APT-Gruppe BITTER entdeckten die Experten von Kaspersky einen weiteren Zero-Day-Exploit im Desktop Window Manager. Bisher kann dieser nicht mit einem bekannten Bedrohungsakteur in Verbindung…
Malware

Malware-Angriffe: 648 neue Bedrohungen pro Minute

Für die April-Ausgabe des Quarterly Threats Reports untersuchten die McAfee Labs die Malware-Aktivitäten von Cyber-Kriminellen sowie die Entwicklung von Cyber-Bedrohungen im dritten und vierten Quartal 2020. Durchschnittlich registrierten die Forscher von…
Hacker

IDOR-Schwachstelle gefährdet Einzelhändler und E-Commerce

Hackerone warnt in seinem jüngst veröffentlichten Blogbeitrag vor der wachsenden Bedrohung vieler Unternehmen des Einzelhandels und des E-Commerce durch sogenannte Insecure Direct Object References (oder IDOR).
Hacker

Neue Cyberattacke zielt auf Microsoft Office und Adobe Photoshop Cracks

Bitdefender hat eine neue Bedrohung für Anwender entdeckt, die raubkopierte Versionen von Microsoft Office und Adobe Photoshop CC nutzen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.