Kaspersky Lab: Cyberspionage-Gruppe Chafer hat offenbar Botschaften im Visier
Chafer greift mit einfacher Malware in Kombination mit öffentlichen Tools an
Die Experten von Kaspersky Lab haben mehrere Kompromittierungsversuche gegen ausländische diplomatische Einrichtungen im Iran mit einer selbstentwickelten Spyware identifiziert. Bei den Angriffen kamen wohl eine aktualisierte Version des Remexi-Backdoor-Programms sowie verschiedene grundsätzlich legitime Tools zum Einsatz. Hinter der Remexi-Backdoor vermuten die Security-Fachleute eine verdächtige Farsi sprechende Cyberspionagegruppe namens Chafer, die zuvor mit digitalen Observationen von Einzelpersonen im Nahen Osten in Verbindung gebracht wurde. Der Fokus auf Botschaften könnte eine Neuorientierung der Gruppe sein.
Die Operation zeigt, wie Bedrohungsakteure in Entwicklungsregionen Cyberangriffskampagnen mittels relativ einfacher Malware in Kombination mit öffentlich verfügbaren Tools umsetzen. In diesem Fall verwendeten die Angreifer eine aktualisierte Version der Remexi-Backdoor, die eine Remote-Verwaltung des kompromittierten Opfer-Computers ermöglicht.
Die Malware Remexi wurde im Jahr 2015 entdeckt und von der Cyberspionagegruppe Chafer für eine digitale Überwachungsoperation eingesetzt, die es auf Einzelpersonen und Organisationen im Nahen Osten abgesehen hatte. Die in der aktuellen Kampagne verwendete Backdoor weist Ähnlichkeiten im Code mit bekannten Samples der Remexi-Malware auf. Dass zudem dieselben Ziele anvisiert werden, lässt die Kaspersky-Experten vermuten, dass die Cyberspionage-Gruppe Chafer hinter der Kampagne steckt.
Die nun entdeckte Remexi-Version kann Befehle aus der Ferne auszuführen und Screenshots, Browser-Daten einschließlich Nutzeranmeldedaten, Logins und Verlauf sowie eingegebenen Text erfassen. Die gestohlenen Daten werden mithilfe der legitimen BITS-Anwendung (Background Intelligent Transfer Service) von Microsoft, einer Windows-Komponente, die Windows-Hintergrund-Updates ermöglichen soll, herausgefiltert. Der Trend, Malware mit angemessenem oder legitimem Code zu kombinieren, hilft Angreifern dabei, Zeit und Ressourcen bei der Erstellung von Malware zu sparen und die Attribution komplizierter zu machen.
"Wenn wir über potenzielle staatlich unterstützte Cyberspionage-Kampagnen sprechen, denken viele oft an fortgeschrittene Operationen mit komplexen Tools, die von Experten entwickelt wurden", so Denis Legezo, Sicherheitsforscher bei Kaspersky Lab. "Die Personen hinter dieser Spyware-Kampagne scheinen jedoch eher Systemadministratoren als ausgeklügelte Bedrohungsakteure zu sein. Sie wissen, wie man codiert, aber ihre Kampagne beruht mehr auf der kreativen Verwendung bereits vorhandener Tools als auf neuen, erweiterten Funktionen oder einer ausgefeilten Code-Architektur." Allerdings können laut Legezo selbst relativ einfache Tools erheblichen Schaden anrichten. Daher empfiehlt er Organisationen, ihre wertvollen Informationen und Systeme vor Bedrohungen jeglicher Art zu schützen und Threat Intelligence.
Mehr Informationen zu Chafer und der verwendeten Remexi-Malware finden sich unter securelist.com/chafer-used-remexi-malware/89538/. Infos zu Kaspersky-Lösungen sind unter www.kaspersky.de/enterprise-security/threat-management-defense-solution abrufbar.
Lesen Sie mehr zum Thema
