Schweizer Security-Firma verbreitet ungewollt Turla-Malware

8. Juni 2017, 15:01
  • security
  • eset
image

Die mutmasslichen Ruag-Angreifer sind wieder aktiv.

Die mutmasslichen Ruag-Angreifer sind wieder aktiv.
Am Dienstag hat das Forschungsteam des Security-Anbieters Eset einen Blogpost veröffentlicht, der in der Security-Szene gegenwärtig einiges Aufsehen erregt. Eset schildert darin eine neue, raffinierte Technik, mit der die "Turla"-Cyberspionage-Gruppe versucht, die Adressen ihrer Command & Control-Server zu verstecken.
In einem Blogpost von Ende März brachte Eset die Turla-Grupope in Zusammenhang mit dem aufsehenerregenden Hack des Schweizer Rüstungskonzerns Ruag.
Die von Eset geschilderte neue Kommunikationsmethode wird von einer Hintertür verwendet, die von einer vermeintlichen Firefox-Extension auf PCs installiert wird. Aber bevor wir zu dieser Methode kommen, gibt es noch einen interessanten Aspekt aus helvetischer Sicht: Die Extension wurde, wie Eset schreibt, über eine kompromittierte Website einer "Schweizer Sicherheitsfirma" verteilt. Ahnungslose Besucher der Website seien dazu aufgefordert worden, diese bösartige Erweiterung namens "HTML5 Encoding 0.3.7" zu installieren.
Name wird nicht genannt
Den Namen der Firma nennt Eset bewusst nicht, wie uns Pressesprecher Michael Klatte auf Anfrage mitteilte. Auch der genaue Zeitraum, in dem sich Besucher der Site mit der Extension infizieren konnten, wird im Blogpost nicht genannt. Eset sagt nur, dass man "vor kurzem" auf die erneuten Aktivitäten der Turla-Gruppe aufmerksam geworden sei.
Gemäss Eset ist die manipulierte Extension ein Aspekt einer neu aufgeflammten "Watering Hole"-Kampagne der Turla-Gruppe, bei der auch andere, ohne das Wissen der Betreiber kompromittierte Websites und andere Methoden verwendet wurden. Für eine Watering-Hole-Attacke versuchen die Angreifer, gezielt Sites zu kompromittieren, die von ihren potentiellen Opfern aufgesucht werden könnten. Die Turla-Leute nehmen laut Eset gerne Behörden, Regierungsoffizielle oder Diplomaten ins Visier. Daraus kann man schliessen, dass sie sich auch Sites aussuchen, bei denen eine hohe Chance besteht, dass sie von Interessierten aus diesen Kreisen besucht werden.
C&C-Server-Adressen auf Instagram versteckt
Malware, die einen PC infiziert hat, versucht oft mit einem sogenannten Command & Control-Server zu kommunizieren. Von diesen C&C-Servern erhält sie Anweisungen, zum Beispiel wohin sie Daten schicken soll oder ob sie weitere Malwarekomponenten herunterladen soll.
Wenn es also Security-Experten gelingt, solche C&C-Server zu identifizieren – meist handelt es auch dabei um gehackte Server, deren eigentliche Besitzer nichts Böses ahnen – dann können sie diese Kommunikation unterbinden. Deshalb versuchen Malware-Entwickler, die Adressen der von der Malware aufgerufenen Server durch immer neue Methoden möglichst gut zu verheimlichen. Im Falle der genannten Firefox-Extension hofften sie dies durch einen Umweg über Instagram zu erreichen.
Die Backdoor ruft nicht direkt einen C&C-Server auf, sondern einen Instagram-Eintrag, ein Foto von Britney Spears. Dort analysiert sie die Kommentare und hasht sie mit einer simplen Hash-Funktion. Kommt dabei der Hash-Wert 183 heraus, wird im Kommentar nach den Zeichen @, | oder # und dem nicht sichtbaren Unicode-Zeichen \200d gesucht. Aus den Buchstaben, die jeweils auf diese Zeichen folgen, setzt die Malware eine Bit-ly-URL zusammen. Diese mittlerweile geblockte URL führte zu einem C&C-Server (static.travelclothes.org/dolR_1ert.php), der von den Angreifern schon früher verwendet wurde, wie Eset schreibt.
Die verwendete Bit-ly-Adresse wurde allerdings nur 17 Mal aufgerufen. Die Security-Experten schliessen daraus, dass es sich um einen Testlauf gehandelt haben könnte. (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Hacker nehmen VMware- und F5-Sicherheitslücken aufs Korn

Die US-Cyberbehörde CISA warnt, dass die kürzlich bekannt gewordenen Lücken aktiv angegriffen werde, vermutlich von staatlich unterstützten Gruppierungen.

publiziert am 19.5.2022
image

Ransomware-Report: Vom Helpdesk bis zur PR-Abteilung der Cyberkriminellen

Im 1. Teil unserer Artikelserie zeigen wir, wann der Ransomware-Trend entstand und wie die Banden organisiert sind. Die grossen Gruppen haben auch die kleine Schweiz verstärkt im Visier.

Von publiziert am 18.5.2022
image

Google will "gehärtete" Open-Source-Software vertreiben

Der Cloudriese scheint von der Sorge vieler Unternehmen über die Sicherheit ihrer Software-Lieferkette profitieren zu wollen.

publiziert am 18.5.2022