Kaspersky hat ein bislang unbekanntes Spionagetool entdeckt, das in indischen Finanzinstituten und Forschungszentren gefunden wurde. Die Spyware Dtrack wird unter anderem zum Hoch- und Herunterladen von Dateien sowie zum Aufzeichnen von Tastenanschlägen verwendet. [...]
Im Jahr 2018 entdeckten Kaspersky-Forscher die Malware ATMDtrack, die Geldautomaten in Indien infiltrierte und Karteninformationen von Kunden stahl. Nach weiteren Untersuchungen mit der Kaspersky Attribution Engine und anderen Tools fanden die Forscher mehr als 180 neue Malware-Samples, deren Codesequenz Ähnlichkeiten mit ATMDtrack aufwies. Diese zielten jedoch nicht auf Geldautomaten ab. Stattdessen weisen die Funktionen der Dtrack-Malware sie als Spionagetool aus.
Beide haben Gemeinsamkeiten mit der Kampagne DarkSeoul aus dem Jahr 2013, die Lazarus zugeschrieben wird. Bei Lazarus handelt es sich um eine berüchtigte Gruppe, die für mehrere Cyberspionage- und Cybersabotage-Operationen verantwortlich sein soll.
Dtrack nutzt Sicherheitsschwächen der Organisationen aus
Dtrack kann als Remote Admin Tool (RAT, Fernwartungstool) verwendet werden, mit dem Angreifer die vollständige Kontrolle über infizierte Geräte erlangen. Cyberkriminelle können damit verschiedene Vorgänge ausführen wie zum Beispiel das Hoch- und Herunterladen von Dateien und das Ausführen von Schlüsselprozessen. Basierend auf den Daten der Kaspersky-Telemetrie ist die neu entdeckte Malware aktiv und wird noch für Cyberangriffe verwendet.
Organisationen, die von Bedrohungsakteuren mit Dtrack RAT angegriffen werden, weisen häufig schwache Netzwerksicherheitsrichtlinien und Passwörter auf. Außerdem sind sie nicht in der Lage, den Datenverkehr im Unternehmen zu verfolgen. Bei erfolgreicher Implementierung kann die Spyware alle verfügbaren Dateien und ausgeführten Prozesse, die Tastaturanschläge, den Browserverlauf und die Host-IP-Adressen aufführen – einschließlich Informationen zu verfügbaren Netzwerken und aktiven Verbindungen.
„Lazarus ist eine eher ungewöhnliche nationalstaatlich geförderte Gruppe“, erklärt Konstantin Zykov Sicherheitsforscher des Global Research und Analysis Team von Kaspersky. „Einerseits konzentriert sie sich wie viele ähnliche Gruppen auf die Durchführung von Cyberspionage- oder Sabotage-Operationen. Andererseits wurde auch festgestellt, dass sie Angriffe durchführt, die eindeutig darauf abzielen, Geld zu stehlen. Letzteres ist für einen so bekannten Bedrohungsakteur ziemlich einzigartig, da andere hochentwickelte Bedrohungsakteure im Allgemeinen keine finanziellen Beweggründe für ihre Operationen haben. Die zahlreichen Dtrack-Samples, die wir gefunden haben, zeigen, dass Lazarus eine der aktivsten APT-Gruppen ist, die ständig Bedrohungen entwickelt und weiterentwickelt, um große Industrien anzugreifen. Ihre erfolgreiche Ausführung von Dtrack RAT beweist, dass eine Bedrohung, auch wenn sie zu verschwinden scheint, in einer anderen Gestalt wieder auftauchen kann, um neue Ziele anzugreifen. Forschungszentrum oder Finanzorganisation, die ausschließlich im kommerziellen Bereich ohne staatliche Tochtergesellschaften tätig sind, sollten die Möglichkeit in Betracht ziehen, von einer hochentwickelten Bedrohung angegriffen zu werden und sich darauf vorbereiten.“
Kaspersky-Empfehlungen zum Schutz vor Malware wie Dtrack RAT
- Eine Software zur Überwachung des Datenverkehrs wie Kaspersky Anti Targeted Attack Platform einsetzen.
- Eine umfassende Sicherheitslösung mit verhaltensbasierten Erkennungstechnologien wie Kaspersky Endpoint Security for Business verwenden.
- Regelmäßig Sicherheitsüberprüfungen der IT-Infrastruktur des Unternehmens durchführen.
- Mitarbeiter in Sicherheitstrainings für den Umgang mit Bedrohungen sensibilisieren.
Be the first to comment