Schlagwort-Archive: Backdoor

Cyberspionage-Kampagne zielt auf Glücksspiel- und Wettfirmen

Von Trend Micro

2019 setzte sich Talent-Jump Technologies, Inc. mit Trend Micro in Verbindung im Zusammenhang mit einem Backdoor, den sie während einer Incident Response-Aktion entdeckt hatten. Die Sicherheitsforscher von Trend Micro analysierten den Schädling, der von einem Advanced Persistent Threat (APT)-Akteur, von Trend Micro „DRBControl“ genannt, eingesetzt wurde. Der Angreifer zielt auf Nutzer in Südostasien, vor allem auf Glücksspiel- und Wettfirmen. Zwar wurden auch Angriffe in Europa und dem Mittleren Osten berichtet, doch fand Trend Micro keine Beweise dafür. Die exfiltrierten Daten bestanden hauptsächlich aus Datenbanken und Quellcodes, was zu der Annahme veranlasst, dass der Hauptzweck der Gruppe die Cyberspionage ist. Die DRBControl-Kampagne greift ihre Ziele mit einer Vielzahl von Malware und Techniken an, die sich mit denen anderer bekannter Cyberspionageaktionen decken.

Rechercheergebnisse

Der Einbruch setzt in einem ersten Schritt auf Spear Phishing .docx-Dateien. Es werden drei Versionen der infizierten Dokumente verteilt. Der Angreifer nutzt zwei vorher noch nicht identifizierte Backdoors (technische Einzelheiten im Originalbeitrag). Einer der Backdoors setzt den Datei-Hosting-Service Dropbox als Command-and-Control (C&C)-Kanal sowie für das Ablegen verschiedener Payloads ein. In Dropbox Repositories fanden sich auch Informationen wie Befehle oder Tools, Daten zu den Workstations der Opfer und gestohlene Dateien. Dropbox ist darüber informiert und arbeitet gemeinsam mit Trend Micro an der Lösung des Problems.

Zum Arsenal des Cyberkriminellen gehören bekannte Schädlingsfamilien wie das Remote Access Tool PlugX und der HyperBro-Backdoor sowie benutzerdefinierte Tools für den Einsatz nach dem Exploit, so etwa ein Clipboard Stealer, ein Netzwerk Traffic-Tunnel, Brute-Force Tool, ein Retriever von IP-Adressen, ein Password Dumper und andere mehr. Die Kampagne weist einige Verbindungen zu den bekannten APT-Gruppen Winnti und Emissary Panda auf.

Fazit

Gezielte Angriffe unterscheiden sich in der Art und Weise, wie die Bedrohungsakteure bestimmte Ziele aktiv verfolgen und kompromittieren (z.B. durch Spear Phishing), um eine laterale Bewegung im Netzwerk und die Extraktion sensibler Informationen zu ermöglichen. Das Wissen um Angriffswerkzeuge, -techniken und -infrastruktur sowie um Verbindungen zu ähnlichen Angriffskampagnen liefert den notwendigen Kontext, um die potenziellen Auswirkungen abzuschätzen und Abwehrmaßnahmen zu ergreifen.

Detallierte Informationen liefert das Whitepaper „Uncovering DRBControl: Inside the Cyberespionage Campaign Targeting Gambling Operations“.

DDoS-Angriffe und IoT Exploits: Momentum-Botnet mit neuer Aktivität

Die Sicherheitsforscher von Trend Micro stellten kürzlich eine erhöhte Malware-Aktivität auf Linux-Geräten fest. Die weitere Analyse von entnommenen Malware-Samples zeigte, dass die Aktionen im Zusammenhang mit einem Botnet namens Momentum standen. Die Forscher entdeckten neue Details zu den Tools und Techniken, die das Botnet derzeit für die Kompromittierung von Geräten und für Distributed Denial-of-Service (DDoS)-Angriffe nutzt.

Momentum zielt auf Linux-Plattformen mit unterschiedlichen CPU-Architekturen wie ARM, MIPS, Intel, Motorola 68020 und andere. Der Hauptzweck dieser Malware ist es, eine Hintertür zu öffnen und Befehle für verschiedene Arten von DoS-Angriffen anzunehmen. Die vom Momentum-Botnet verteilten Backdoors sind Mirai-, Kaiten- und Bashlite-Varianten. Darüber hinaus verbreitet sich Momentum auch durch das Ausnutzen mehrerer Schwachstellen in unterschiedlichen Routern und Webservices, um Shell-Skripts herunterzuladen und auf den anvisierten Geräten auszuführen. Die technischen Einzelheiten zur Vorgehensweise und Fähigkeiten von Momentum sowie deren Payloads liefert der Orginalbeitrag.

Sicherheitsempfehlungen und Lösungen

Es ist bekannt, dass smarte, vernetzte Geräte aufgrund der eingeschränkten Sicherheits- und Schutzoptionen leichter angreifbar sind. Deshalb sollten Nutzer Vorsorge treffen und vor allem Router aber auch andere Geräte sichern.

Trend Micro Smart Home Network liefert eine embedded Netzwerksicherheitslösung, die alle Geräte schützen kann, die mit einem Heimnetzwerk verbunden sind. Die Deep Packet Inspection (DPI)-Technologie von Trend Micro bietet Quality of Service (iQoS), Kindersicherung, Netzwerksicherheit und vieles mehr.

Trend Micro™ Deep Discovery™ kann über spezielle Engines, anpassbare Sandboxen und nahtlose Korrelierung Angriffe mit Exploits oder ähnlichen Bedrohungen erkennen, analysieren und proaktiv darauf reagieren. Unterstützt werden die Lösungen durch Trend Micro XGen™ Security mit einer generationsübergreifenden Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.

Android Backdoor kann heimlich Audio & Video aufzeichnen – und mehr

von Lenart Bermejo, Jordan Pan und Cedric Pernet

Der Informationen stehlende RETADUP Wurm, der israelische Krankenhäuser angegriffen hatte, ist Teil einer Attacke, die breitangelegt ist, als ursprünglich angenommen – zumindest bezüglich der Auswirkungen. Der Angriff wurde von einer noch gefährlicheren Bedrohung begleitet – einer Android-Schadsoftware, die ein Mobilgerät übernehmen kann. Trend Micro hat sie als ANDROIDOS_GHOSTCTRL.OPS/ANDROIDOS_GHOSTCTRL.OPSA erkannt und den Backdoor GhostCtrl genannt, weil er unbemerkt eine Reihe von Funktionen auf dem betroffenen Gerät kontrollieren kann.

Weiterlesen