Virus-Veteran: „Beliebte“ Malware hat 10 Jahre auf dem Buckel

Die von Palo Alto Networks identifizierte Malware "Infy", die auch vom Iran genutzt wird, wird seit zehn Jahren bei gezielten Angriffen eingesetzt. [...]

Palo Alto Networks hat mehrere verwandte Varianten einer bisher nicht veröffentlichten Malware-Familie identifiziert, die „Infy“ benannt wurde. Diese Malware-Familie war offensichtlich an vom Iran aus durchgeführten E-Spionage-Angriffen beteiligt, die bis ins Jahr 2007 zurückreichen. Angriffe, die dieses Malware-Tool nutzen, waren bis zuletzt aktiv. Angriffskampagnen, die sehr begrenzt auftreten, können oft jahrelang versteckt ausgeführt werden. Wenn nur wenige Malware-Samples eingesetzt werden, ist es weniger wahrscheinlich, dass Sicherheitsforscher diese identifizieren und miteinander in Verbindung bringen.

Im Mai 2015 entdeckte Palo Alto Networks zwei E-Mails, die schädliche Dokumente enthielten. Die Mails stammten von einem kompromittierten Google-Mail-Konto in Israel und wurden an eine israelische Industrieorganisation gesendet. Eine E-Mail enthielt eine Microsoft-Powerpoint-Datei mit dem Namen „thanks.pps“, die andere ein Microsoft-Word-Dokument mit dem Namen „request.docx“. Etwa zur gleichen Zeit, erfasste auch WildFire eine E-Mail mit einem Word-Dokument namens „hello.docx“ mit einem identischen Hash wie die früheren Word-Dokumente, diesmal an einen Empfänger der US-Regierung verschickt. Auf der Basis verschiedener Attribute dieser Dateien und der Funktionalität der installierten Malware hat Palo Alto Networks über 40 Varianten der Malware-Familie Infy identifiziert und gesammelt.

Die Angriffe, in denen Palo Alto Networks die Infy-Malware identifiziert hat, beginnen mit einer Speer-Phishing-E-Mail, die ein Word- oder Powerpoint-Dokument enthält. Diese angefügte Dokumentendatei wiederum enthält ein mehrstufiges selbstextrahierendes Executable-Archiv (SFX). Der Inhalt der Mail dient dazu, mittels Social Engineering den Empfänger dazu zu verleiten, die ausführbare Datei zu aktivieren. So öffnet sich zum Beispiel die PPS-Datei im Powerpoint-„Show“-Modus. Der Benutzer sieht eine Powerpoint-Seite, die scheinbar ein Video enthält. Der Empfänger wird so ausgetrickst, dass er auf „Run“ klickt, wodurch die eingebettete SFX-Datei ausgeführt wird.

Die ausführbare Datei installiert eine dynamische Programmbibliothek, schreibt in den Autorun-Registrierungsschlüssel und wird nicht aktiviert bis zum Neustart. Nach dem Neustart überprüft die ausführbare Datei die Umgebung auf Antivirus-Software und verbindet sich dann zum C2-Server. Dann beginnt die Malware Daten über die Umgebung zu sammeln, bringt einen Keylogger in Stellung und stiehlt Browser-Passwörter und Inhalte wie Cookies, bevor die Daten übermittelt werden.

Nach einer umfassenden Analyse der Malware und C2-Infrastruktur zwischen diesen Samples hatte Palo Alto Networks genügend Anhaltspunkte, um auf ein typisches Verhaltensmuster zu schließen. Die Aktivität wurde über fast zehn Jahre beobachtet, wobei die Malware ständig verbessert und weiterentwickelt wurde. Das geringe Aktivitätsvolumen, der bewusst gewählte Fokus der Kampagne und maßgeschneiderte Inhalte lieferten Hinweise auf die Art der Ziele der Akteure. Palo Alto Networks ist der Ansicht, Aktivitäten aufgedeckt zu haben, die bereits seit rund zehn Jahren ausgeführt werden und überwiegend unter dem Radar stattfanden. Es handelt sich dabei offensichtlich um gezielte E-Spionage vom Iran aus, die gegen Regierungen und Unternehmen aus mehreren Ländern sowie die eigenen Bürger gerichtet ist.

Kompromittierungsindikatoren (Indicators of Compromise, IOCs) finden sich in einem detaillierten Beitrag über die Malware auf der Website von Unit 42, dem Forschungszentrum von Palo Alto Networks. (pi/rnf)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*