Komplexes Spionage-Tool in neuem Gewand
Hacking-Gruppe Turla versteckt Schadprogramm in Zensur-Umgehungssoftware
Die russischsprachige Hacker-Gruppe Turla hat ihr Portfolio an Bedrohungswerkzeugen umfassend modifiziert, wie Kaspersky-Forscher nach eigenen Angaben kürzlich herausfanden. Die Gruppe erweiterte ihre bekannte JavaScript-KopiLuwak-Malware um einen neuen Dropper namens "Topinambour", den die Cybersecurity-Experten in zwei ähnlichen Versionen und in anderen Sprachen identifiziert haben. Die Malware wird jetzt unter anderem über infizierte Software-Installationspakete zur Umgehung von Internetzensur verbreitet. Die Sicherheitsexperten glauben, dass diese Maßnahmen darauf abzielen, das Erkennungsrisiko ihrer Schadprogramme zu minimieren und die Auswahl idealer Zielopfer zu präzisieren. Topinambour fiel Anfang 2019 bei einer Kompromittierungsaktion gegen Regierungsstellen auf.
Bei Turla handelt es sich um einen bekannten russischsprachigen Bedrohungsakteur, der sich auf Cyberspionageaktivitäten gegen staatliche und diplomatische Ziele spezialisiert hat. Die Gruppe gilt als äußerst innovativ und wurde durch ihre charakteristische KopiLuwak-Malware - erstmals Ende 2016 beobachtet - bekannt. In diesem Jahr entdeckten die Kaspersky-Forscher neue von Turla entwickelten Tools und Techniken, die den Tarnungsgrad der Malware erhöhen und infolgedessen die Erkennungswahrscheinlichkeit minimieren kann.
Topinambour (benannt nach dem Gemüse Topinambur) ist eine neue, von Turla verwendete .NET-Datei, um damit das JavaScript KopiLuwak mittels infizierter Installationspakete für legitime Softwareprogramme (etwa VPNs zur Umgehung von Internetzensur) zu streuen.
KopiLuwak ist offenbar für Cyberspionage konzipiert. Turlas neu entwickelter Infektionsprozess umfasst Funktionen, die der Malware helfen, eine Erkennung zu vermeiden. Die Command-and-Control-Infrastruktur verfügt zum Beispiel über IPs, die gewöhnliche LAN-Adressen imitieren. Darüber hinaus agiert die Malware fast vollständig "fileless". Die letzte Phase des Infektionsprozesses, bei der ein verschlüsselter Trojaner die Fernverwaltung übernimmt, ist komplett in die Registry des Computers eingebettet. Die Malware kann dann auf die Registry zugreifen.
Die beiden neuen KopiLuwak-Versionen .NET-RocketMan-Trojaner und der PowerShell-MiamiBeach-Trojaner sind ebenfalls für Cyberspionage konzipiert. Die Kaspersky-Forscher sind der Meinung, dass sich diese Varianten gegen Ziele mit installierter Sicherheitssoftware einsetzen lassen, die in der Lage ist, KopiLuwak-Trojaner zu erkennen.
Um das Risiko zu verringern, Opfer komplexer Cyberspionageoperationen zu werden, empfiehlt Kaspersky folgende Maßnahmen:
- IT-Security-Schulungen für Unternehmensmitarbeiter, um das Sicherheitsbewusstsein zu stärken und potenziell schädliche Anwendungen oder Dateien zu erkennen und zu vermeiden. Mitarbeiter sollten beispielsweise keine Anwendungen oder Programme aus nicht vertrauenswürdigen oder unbekannten Quellen herunterladen und starten,
- Implementierung einer EDR-Lösung zur Erkennung, Untersuchung und rechtzeitigen Behebung von Vorfällen auf Endpoint-Ebene,
- Integration einer unternehmensweiten Sicherheitslösung, die komplexe Bedrohungen auf Netzwerkebene frühzeitig erkennt - etwa die Kaspersky Anti Targeted Attack Platform und
- Permanenter Zugang des Security Operation Centers (SOC) auf aktuelle Bedrohungsinformationen, um über die neuen und aufkommenden Tools, Techniken und Taktiken von Cyberkriminellen auf dem Laufenden zu bleiben.
Den vollständigen Kaspersky-Bericht finden Interessierte unter securelist.com/turla-renews-its-arsenal-with-topinambour/91687/.
Lesen Sie mehr zum Thema
