Neue russische Windows-Backdoor entdeckt

17. April 2024 um 10:04
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Security-Experten melden eine Hintertür in Windows-Systemen. Hinter ihr soll die berüchtigte russische Hackergruppe Sandworm stecken, die vor allem gegen die Ukraine agiert.

Threat-Intelligence-Forschende melden, eine neuartige Malware entdeckt zu haben. Sie werde sei Mitte 2022 bei Angriffen auf Ziele in Mittel- und Osteuropa eingesetzt. Die Analyse der Malware, ihr seltenes Auftauchen sowie ihr Grad an Tarnung und Raffinesse würden auf Aktivitäten auf APT-Ebene (Advanced Persistent Threat) hindeuten.
Man könne die Malware mit dem Namen Kapeka mit der Hackergruppe Sandworm in Verbindung bringen, schreiben die Forscher von Whitsecure. Bei Sandworm handelt es sich um die Cybereinheit des russischen Militärgeheimdienstes GRU. Die APT-Gruppe ist auch als Voodoo Bear oder Seashell Blizzard bekannt.
Man kenne die Gruppe Sandworm wegen ihrer zerstörerischen Angriffe gegen die Ukraine, schreibt Withsecure. Den Forschern zufolge ist es möglich, dass Kapeka ein Nachfolger der Greyenergy-Malware von Sandworm ist, die ihrerseits wahrscheinlich ein Ersatz für die berühmte Blackenergy-Malware war, mit der 2015 bösartiger Code in das ukrainische Stromnetz eingeschleust wurde.

Microsoft bestätigt

Die Security-Forscher führen aus, dass Kapeka eine flexible Backdoor sei, die einerseits als Toolkit für die Anfangsphase eines Angriffs diene. Andererseits gewähre Kapeka aber auch langfristigen Zugriff auf die Daten des Opfers.
Microsoft bestätigt den Befund von Kapeka. Die Redmonder haben der Malware den Namen "Knuckletouch" gegeben.

Angebliches Office-Add-in

Microsoft schreibt in einem Blogbeitrag vom 14. Februar 2024, dass Microsoft Defender Antivirus Knuckletouch erkenne und automatisch entferne. Infektionen könnten jedoch Reste von Dateien und Systemänderungen hinterlassen. Geräte, die mit diesem Trojaner infiziert sind, seien möglicherweise stark beeinträchtigt und müssten vollständig wiederhergestellt werden, so Microsoft.
Die Malware könne mehrere Befehle für die Befehls- und Kontrollfunktion (C2) verwenden und kommuniziere mit einer speziellen, von Bedrohungsakteuren kontrollierten Infrastruktur. Knuckletouch-Dateien würden in der Regel als Office-Add-ins mit den Dateierweiterungen .WLL oder .XLL dargestellt.

Loading

Mehr zum Thema

image

Microsoft erlaubt weiterhin Homeoffice

Im Gegensatz zu anderen Konzernen wie Dell und Amazon will Microsoft seine Angestellten nicht komplett ins Büro zurückbeordern.

publiziert am 2.10.2024
image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Deepl expandiert weiter in den USA

Der Kölner Sprachsoftware-Anbieter eröffnet einen Tech-Standort in New York. Gleichzeitig gibt es zwei neue Köpfe im Management.

publiziert am 2.10.2024
image

Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea

Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.

publiziert am 1.10.2024