Neue russische Windows-Backdoor entdeckt

17. April 2024 um 10:04
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Security-Experten melden eine Hintertür in Windows-Systemen. Hinter ihr soll die berüchtigte russische Hackergruppe Sandworm stecken, die vor allem gegen die Ukraine agiert.

Threat-Intelligence-Forschende melden, eine neuartige Malware entdeckt zu haben. Sie werde sei Mitte 2022 bei Angriffen auf Ziele in Mittel- und Osteuropa eingesetzt. Die Analyse der Malware, ihr seltenes Auftauchen sowie ihr Grad an Tarnung und Raffinesse würden auf Aktivitäten auf APT-Ebene (Advanced Persistent Threat) hindeuten.
Man könne die Malware mit dem Namen Kapeka mit der Hackergruppe Sandworm in Verbindung bringen, schreiben die Forscher von Whitsecure. Bei Sandworm handelt es sich um die Cybereinheit des russischen Militärgeheimdienstes GRU. Die APT-Gruppe ist auch als Voodoo Bear oder Seashell Blizzard bekannt.
Man kenne die Gruppe Sandworm wegen ihrer zerstörerischen Angriffe gegen die Ukraine, schreibt Withsecure. Den Forschern zufolge ist es möglich, dass Kapeka ein Nachfolger der Greyenergy-Malware von Sandworm ist, die ihrerseits wahrscheinlich ein Ersatz für die berühmte Blackenergy-Malware war, mit der 2015 bösartiger Code in das ukrainische Stromnetz eingeschleust wurde.

Microsoft bestätigt

Die Security-Forscher führen aus, dass Kapeka eine flexible Backdoor sei, die einerseits als Toolkit für die Anfangsphase eines Angriffs diene. Andererseits gewähre Kapeka aber auch langfristigen Zugriff auf die Daten des Opfers.
Microsoft bestätigt den Befund von Kapeka. Die Redmonder haben der Malware den Namen "Knuckletouch" gegeben.

Angebliches Office-Add-in

Microsoft schreibt in einem Blogbeitrag vom 14. Februar 2024, dass Microsoft Defender Antivirus Knuckletouch erkenne und automatisch entferne. Infektionen könnten jedoch Reste von Dateien und Systemänderungen hinterlassen. Geräte, die mit diesem Trojaner infiziert sind, seien möglicherweise stark beeinträchtigt und müssten vollständig wiederhergestellt werden, so Microsoft.
Die Malware könne mehrere Befehle für die Befehls- und Kontrollfunktion (C2) verwenden und kommuniziere mit einer speziellen, von Bedrohungsakteuren kontrollierten Infrastruktur. Knuckletouch-Dateien würden in der Regel als Office-Add-ins mit den Dateierweiterungen .WLL oder .XLL dargestellt.

Loading

Mehr erfahren

Mehr zum Thema

image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollten nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Machen xAI und Oracle bei KI gemeinsame Sache?

Gerüchten zufolge will das KI-Startup von Elon Musk GPU-Server bei Oracle mieten. Dafür sollen 10 Milliarden Dollar fliessen.

publiziert am 15.5.2024
image

AWS-CEO Adam Selipsky tritt zurück

Die Cloud-Sparte von Amazon erhält mit Matt Garman einen neuen CEO. Er ist bereits seit fast 20 Jahren beim Unternehmen tätig.

publiziert am 14.5.2024