Komplexes Spionage-Tool in neuem Gewand

KopiLuwak wurde zum Zwecke der Cyberspionage konzipiert und der neu entwickelte Infektionsprozess beinhaltet Funktionalitäten, die der Malware helfen, eine Erkennung zu vermeiden. [...]

Die beiden neu entdeckten KopiLuwak-Versionen sind für Cyberspionage konzipiert. Die Kaspersky-Forscher sind der Meinung, dass diese Varianten gegen Ziele mit installierter Sicherheitssoftware eingesetzt werden, die in der Lage ist, KopiLuwak-Trojaner zu erkennen. (c) forkART-photographie - adobe.stock.com

Die russischsprachige Hackergruppe „Turla“ hat ihr Portfolio an Bedrohungswerkzeugen umfassend modifiziert, wie Kaspersky-Forscher jetzt herausfanden. Die Gruppe erweiterte ihre bekannte JavaScript-KopiLuwak-Malware um einen neuen Dropper namens „Topinambour“, der von den Cybersecurity-Experten in zwei ähnlichen Versionen und in anderen Sprachen identifiziert wurde.

Die Malware wird jetzt unter anderem über infizierte Software-Installationspakete zur Umgehung von Internetzensur verbreitet. Die Sicherheitsexperten glauben, dass diese Maßnahmen darauf abzielen, das Erkennungsrisiko ihrer Schadprogramme zu minimieren und die Auswahl idealer Zielopfer zu präzisieren. Topinambour wurde Anfang
2019 bei einer Kompromittierungsaktion gegen Regierungsstellen entdeckt.

Bei Turla handelt es sich um einen bekannten russischsprachigen Bedrohungsakteur, der sich auf Cyberspionageaktivitäten gegen staatliche und diplomatische Ziele spezialisiert hat. Die Gruppe gilt als äußerst innovativ und wurde durch ihre charakteristische KopiLuwak-Malware – erstmals Ende 2016 beobachtet – bekannt. In diesem Jahr entdeckten die Kaspersky-Forscher neue – von Turla entwickelte – Tools und Techniken, mit denen der Tarnungsgrad ihrer Malware erhöht und infolgedessen die Erkennungswahrscheinlichkeit minimiert wird.

Cyberkriminelle reduzieren Erkennungsrisiko

KopiLuwak wurde zum Zwecke der Cyberspionage konzipiert und Turlas neu entwickelter Infektionsprozess beinhaltet Funktionalitäten, die der Malware helfen, eine Erkennung zu vermeiden. So verfügt etwa die Command-and-Control-Infrastruktur über IPs, die gewöhnliche LAN-Adressen imitieren. Darüber hinaus agiert die Malware fast vollständig „fileless“. Die letzte Phase des Infektionsprozesses, bei der ein verschlüsselter Trojaner die Fernverwaltung übernimmt, ist komplett in die Registry des Computers eingebettet. Die Malware kann, sobald sie bereit ist, auf diese zugreifen.

Die beiden neu entdeckten KopiLuwak-Versionen, der „.NET-RocketMan“-Trojaner und der „PowerShell-MiamiBeach“-Trojaner sind ebenfalls für Cyberspionage konzipiert. Die Kaspersky-Forscher sind der Meinung, dass diese Varianten gegen Ziele mit installierter Sicherheitssoftware eingesetzt werden, die in der Lage ist, KopiLuwak-Trojaner zu erkennen. Nach erfolgreicher Installation sind alle drei Versionen in der Lage:

  • Die individuellen Spezifika (Fingerprint targets) infizierter Zielrechner umfassend zu analysieren.
  • Gespeicherte Informationen über System- und Netzwerkadapter zu sammeln.
  • Daten zu stehlen.
  • Zusätzliche Malware herunter zu laden und auszuführen.
  • Der Typ MiamiBeach ist darüber hinaus fähig, Screenshots zu machen.

„In diesem Jahr zeigt sich Turla mit überarbeitetem Toolset an Schadprogrammen und mit mit einer Reihe neuer Funktionen, die eine Erkennung durch Sicherheitslösungen und Forscher erschweren. Dazu gehören eine Reduzierung des digitalen Fingerabdrucks der Malware und zwei neue, nach ähnlichem Design konzipierte Versionen der bekannten KopiLuwak-Malware“, betont Kurt Baumgartner, leitender Sicherheitsforscher bei Kaspersky. „Der Missbrauch von Installationspaketen für VPN-Software, die Internetzensur umgehen können, deutet darauf hin, dass sich die Angreifer klar definierte Cyberspionageziele für diese Tools gesetzt haben. Die kontinuierliche Weiterentwicklung des Turla-Portfolios unterstreicht die Notwendigkeit, Threat Intelligence-Lösungen und geeignete Sicherheitssoftware einzusetzen, die vor den neuesten Tools und Techniken von APTs (Advanced Persistence Threats) schützen. Beispielsweise würde ein Endpunktschutz und die Überprüfung von Datei-Hashes nach dem Herunterladen von Installationssoftware helfen, um sich vor Bedrohungen wie Topinambour entsprechend zu schützen.“


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*