Kaspersky Lab veröffentlicht einen Bericht über die Zusammenhänge zwischen einer Sicherheitslücke bei PDF-Dateien und einem neuen Schadprogramm namens Miniduke. Cyber-Kriminelle setzten den Backdoor-Trojaner in der vergangenen Woche weltweit ein, um zahlreiche Regierungsstellen und weitere Organisationen anzugreifen. Kaspersky Lab hat zusammen mit Crysys Lab die Angriffe analysiert.

Mehr zum Thema:

Kaspersky: Zero-Day-Schwachstelle in Adobe Flash Player

Analysesoftware priorisiert Sicherheitsvorfälle

Sicherheit nach Gutsherrenart

BKA-Trojaner: Spanische Polizei verhaftet Online-Gangster

 

 

Laut der Analyse hat das Schadprogramm mehrere hochrangige Zielpersonen angegriffen. Diese gehören Regierungsstellen in Belgien, Irland Portugal, Rumänien, der Tschechischen Republik und der Ukraine an. Darüber hinaus fielen in den USA ein Forschungsinstitut, zwei Think Tanks und ein Dienstleister aus dem Gesundheitsbereich den Angriffen ebenso zum Opfer wie eine bekannte Forschungseinrichtung in Ungarn.

 

Laut Eugene Kaspersky, Gründer und CEO von Kaspersky Lab, ist der Backdoor-Trojaner Miniduke hochspezialisiert und in Assembler geschrieben. Er kombiniert klassische Virenprogrammierung mit Exploit-Techniken sowie Social-Engineering-Tricks, die diese in Bezug auf hochrangige Zielpersonen so gefährlich macht.

 

Für die Angriffe verschickten die Kriminellen professionell erstellte PDF-Dateien, die angeblich Informationen der ASEM (Asia-Europe Meetings) zur Außenpolitik der Ukraine und Pläne von NATO-Mitgliedern enthielten. Die integrierten Exploits griffen die Adobe Reader Versionen 9, 10 sowie 11 an und umgingen deren Sandbox. Das Sicherheitsunternehmen vermutet, dass die Exploits einem anderen Zweck dienen und über eine eigene Malware verfügen.

 

Sobald der Schädling ein System infiziert hat, platziert er einen kleinen Downloader von 20 kByte auf der Festplatte des Opfers. Dieser ist für jedes System einmalig und enthält eine spezielle Hintertür. Fährt ein Anwender sein infiziertes System hoch, ermittelt der Downloader einen einmaligen Fingerabdruck des angegriffenen Computersystems und verwendet diese Daten auch zur späteren Verschlüsselung. Seine Programmierung wehrt überdies Analysewerkzeuge bestimmter Umgebungen ab. Laut Kaspersky stellt die Schadsoftware ihre Aktivitäten ein, sobald sie einen Analyseversuch bemerkt. Dadurch will sie keine Möglichkeit der Entschlüsselung geben.

 

Ohne Wissen des Anwenders startet die Malware die Suche nach speziellen Tweets von voreingerichteten Twitter-Konten. Auf diese Weise erhält der Virus Zugriff auf verschlüsselte URLs, mit denen sich die Hintertür zu einem C&C-Server öffnen lässt. Die URLs übermitteln die Befehle und einen zusätzlichen, verschlüsselten Backdoor-Code via Gif-Bilddateien daraufhin an den Zielrechner. Anschließend verschickt die Schadsoftware einen Code, der einfache Operationen wie das Kopieren und Löschen von Dateien, Anlegen von Verzeichnissen, Stoppen von Prozessen und natürlich das Nachladen von weiterem Code erlaubt.

 

Die Analysten von Kaspersky gehen davon aus, dass die Autoren der Schadsoftware ein dynamisches Backup-System zur Sicherung der Daten entwickelt haben, das ebenfalls unterhalb der Wahrnehmungsschwelle von Analyse-Tools agiert. Und falls Twitter oder eines der Twitter-Konten nicht funktioniert, ist die Malware auch in der Lage, die Google-Suche zum Auffinden der verschlüsselten Zeichenketten mit einer URL zum nächsten C&C-Server einzusetzen. Auf diese Weise könne die Malware ständig die Methoden ändern, um beispielsweise den Backdoor-Trojaner auf den Zielrechnern weitere Befehle zu erteilen oder zusätzlichen böswilligen Code nachzuladen.

 

Den vollständige Bericht und weitere Informationen gibt es unter www.securelist.com/en/blog/208194129.

Für die Angriffe mit den Backdoor-Trojanern verschickten die Kriminellen professionell erstellte PDFs, die angeblich Informationen zu Plänen von NATO-Mitgliedern enthielten.