Neue Malware bestätigt die Benutzeraktivität, bevor Backdoor zur Durchführung von Cyberspionage genutzt wird
Das Cybersicherheitsunternehmen ESET hat festgestellt, dass eine bekannte und schwer fassbare Hacking-Gruppe stillschweigend eine Malware bereitstellt, die bestimmte Ziele verfolgt. Die Malware nutzt eine Hintertür aus, die in der Vergangenheit erfolgreich unter dem Radar vorbeigegangen ist. Darüber hinaus führt die Software einige interessante Tests durch, um sicherzustellen, dass sie auf einen aktiv verwendeten Computer abzielt. Wenn die Malware keine Aktivität erkennt oder nicht zufrieden ist, wird sie einfach heruntergefahren und verschwindet, um eine optimale Tarnung zu gewährleisten und einer möglichen Erkennung zu entgehen. Die neue Malware sucht nach wichtigen Persönlichkeiten innerhalb der staatlichen Maschinerie. Einfach ausgedrückt, die Malware verfolgt Diplomaten und Regierungsabteilungen auf der ganzen Welt
Das Ke3chang Die Gruppe der fortgeschrittenen persistenten Bedrohungen scheint mit einer neuen, fokussierten Hacking-Kampagne wieder aufgetaucht zu sein. Die Gruppe startet und verwaltet seit mindestens 2010 erfolgreich Cyberspionagekampagnen. Die Aktivitäten und Exploits der Gruppe sind recht effizient. In Kombination mit den beabsichtigten Zielen scheint die Gruppe von einer Nation gesponsert zu werden. Die neueste Art von Malware, die von der Ke3chang Gruppe ist ziemlich anspruchsvoll. Zuvor bereitgestellte RAS-Trojaner und andere Malware waren ebenfalls gut konzipiert. Die neue Malware geht jedoch über die blinde oder Masseninfektion der Zielcomputer hinaus. Stattdessen ist sein Verhalten ziemlich logisch. Die Malware versucht, die Identität des Ziels und des Computers zu bestätigen und zu authentifizieren.
Cybersecurity-Forscher bei ESET identifizieren neue Angriffe von Ke3chang:
Die Ke3chang Advanced Persistent Threat Group, die seit mindestens 2010 aktiv ist, wird auch als APT 15 identifiziert. Das beliebte slowakische Antiviren-, Firewall- und andere Cybersicherheitsunternehmen ESET hat bestätigte Spuren und Beweise für die Aktivitäten der Gruppe identifiziert. ESET-Forscher behaupten, dass die Ke3chang-Gruppe ihre bewährten Techniken einsetzt. Die Malware wurde jedoch erheblich aktualisiert. Darüber hinaus versucht die Gruppe diesmal, eine neue Hintertür auszunutzen. Die zuvor unentdeckte und nicht gemeldete Hintertür wird vorläufig Okrum genannt.
ESET-Forscher gaben weiter an, dass ihre interne Analyse darauf hinweist, dass die Gruppe diplomatische Gremien und andere Regierungsinstitutionen verfolgt. Im Übrigen war die Ke3chang-Gruppe außerordentlich aktiv bei der Durchführung anspruchsvoller, gezielter und anhaltender Cyberspionagekampagnen. Traditionell ging die Gruppe Regierungsbeamten und wichtigen Persönlichkeiten nach, die mit der Regierung zusammenarbeiteten. Ihre Aktivitäten wurden in Ländern in ganz Europa sowie in Mittel- und Südamerika beobachtet.
Das Interesse und der Fokus von ESET bleiben weiterhin auf der Ke3chang-Gruppe, da die Gruppe im Heimatland des Unternehmens, der Slowakei, ziemlich aktiv war. Andere beliebte Ziele der Gruppe sind jedoch Belgien, Kroatien und die Tschechische Republik in Europa. Es ist bekannt, dass die Gruppe Brasilien, Chile und Guatemala in Südamerika ins Visier genommen hat. Die Aktivitäten der Ke3chang-Gruppe deuten darauf hin, dass es sich um eine staatlich geförderte Hacking-Gruppe mit leistungsstarker Hardware und anderen Softwaretools handeln könnte, die gewöhnlichen oder einzelnen Hackern nicht zur Verfügung stehen. Daher könnten auch die jüngsten Angriffe Teil einer langfristig anhaltenden Kampagne zum Sammeln von Informationen sein, bemerkte Zuzana Hromcova, eine Forscherin bei ESET: "Das Hauptziel des Angreifers ist höchstwahrscheinlich Cyberspionage. Deshalb haben sie diese Ziele ausgewählt."
Wie funktioniert die Ketrican Malware und Okrum Backdoor?
Die Ketrican-Malware und die Okrum-Hintertür sind ziemlich raffiniert. Sicherheitsforscher untersuchen immer noch, wie die Hintertür auf den Zielcomputern installiert oder abgelegt wurde. Während die Verteilung der Okrum-Hintertür weiterhin ein Rätsel bleibt, ist ihre Funktionsweise noch faszinierender. Die Okrum-Hintertür führt einige Softwaretests durch, um zu bestätigen, dass sie nicht in einer Sandbox ausgeführt wird. Dies ist im Wesentlichen ein sicherer virtueller Bereich, den Sicherheitsforscher verwenden, um das Verhalten von schädlicher Software zu beobachten. Wenn der Lader keine zuverlässigen Ergebnisse erhält, beendet er sich einfach selbst, um eine Erkennung und weitere Analyse zu vermeiden.
Interessant ist auch die Methode der Okrum-Hintertür, mit der bestätigt wird, dass sie auf einem Computer ausgeführt wird, der in der realen Welt arbeitet. Der Lader oder die Hintertür aktiviert den Pfad, um die tatsächliche Nutzlast zu empfangen, nachdem mindestens dreimal mit der linken Maustaste geklickt wurde. Forscher glauben, dass dieser Bestätigungstest hauptsächlich durchgeführt wird, um sicherzustellen, dass die Hintertür auf realen, funktionierenden Maschinen und nicht auf virtuellen Maschinen oder Sandbox funktioniert.
Sobald der Loader zufrieden ist, gewährt sich die Okrum-Hintertür zunächst die vollen Administratorrechte und sammelt Informationen über den infizierten Computer. Es enthält Informationen wie Computername, Benutzername, Host-IP-Adresse und das installierte Betriebssystem. Danach werden zusätzliche Werkzeuge benötigt. Auch die neue Ketrican-Malware ist hochentwickelt und bietet zahlreiche Funktionen. Es hat sogar einen eingebauten Downloader sowie einen Uploader. Die Upload-Engine wird zum heimlichen Exportieren von Dateien verwendet. Das Downloader-Tool in der Malware kann Updates anfordern und sogar komplexe Shell-Befehle ausführen, um tief in den Host-Computer einzudringen.
ESET-Forscher hatten zuvor beobachtet, dass die Okrum-Hintertür sogar zusätzliche Tools wie Mimikatz bereitstellen kann. Dieses Tool ist im Wesentlichen ein Stealth-Keylogger. Es kann Tastenanschläge beobachten und aufzeichnen und versuchen, Anmeldeinformationen für andere Plattformen oder Websites zu stehlen.
Im Übrigen haben Forscher verschiedene Ähnlichkeiten bei den Befehlen festgestellt, die die Okrum-Hintertür und die Ketrican-Malware verwenden, um die Sicherheit zu umgehen, erhöhte Berechtigungen zu gewähren und andere illegale Aktivitäten durchzuführen. Die unverkennbare Ähnlichkeit zwischen den beiden hat die Forscher zu der Annahme veranlasst, dass die beiden eng miteinander verbunden sind. Wenn dies nicht stark genug ist, zielen beide Software auf dieselben Opfer ab, bemerkte Hromcova: „Wir haben begonnen, die Punkte zu verbinden, als wir entdeckten, dass die Okrum-Hintertür verwendet wurde, um eine 2017 kompilierte Ketrican-Hintertür fallen zu lassen Wir haben festgestellt, dass einige diplomatische Einheiten, die von der Okrum-Malware und den Ketrican-Hintertüren 2015 betroffen waren, auch von den Ketrican-Hintertüren 2017 betroffen waren. ”
Die beiden verwandten Teile bösartiger Software, die Jahre voneinander entfernt sind, und die anhaltenden Aktivitäten der Ke3chang-Gruppe für fortgeschrittene persistente Bedrohungen zeigen, dass die Gruppe der Cyberspionage treu geblieben ist. ESET ist zuversichtlich, die Gruppe hat ihre Taktik verbessert und die Art der Angriffe hat an Raffinesse und Wirksamkeit zugenommen. Die Cybersicherheitsgruppe zeichnet seit langem die Exploits der Gruppe auf und führt einen detaillierten Analysebericht.
Vor kurzem haben wir darüber berichtet, wie eine Hacking-Gruppe ihre anderen illegalen Online-Aktivitäten aufgegeben hat und begann sich auf Cyberspionage zu konzentrieren. Es ist sehr wahrscheinlich, dass Hacking-Gruppen in dieser Aktivität bessere Perspektiven und Belohnungen finden. Mit staatlich geförderten Angriffen auf dem Vormarsch könnten Schurkenregierungen die Gruppen auch heimlich unterstützen und ihnen im Austausch gegen wertvolle Staatsgeheimnisse eine Begnadigung anbieten.