News

Autoren der Cyberattacke Musical Chairs aktualisieren RAT

Kürzlich brachten die Experten von Palo Alto Networks Licht ins Dunkel einer Cyberattacke, die den RAT-Trojaner Gh0st verwendet und schon seit mehr als fünf Jahren läuft. Diese Schadkampagne erhielt den Namen Musical Chairs („Reise nach Jerusalem“, das Spiel, bei dem es immer einen Stuhl weniger als Mitspieler gibt); im Juli wurde im Rahmen dieser Kampagne eine neue Variante eines Schädlings verbreitet, der in dem kalifornischen IT-Sicherheitsunternehmen auf den Namen Piano Gh0st getauft wurde.

Die Forscher weisen darauf hin, dass der RAT-Trojaner Gh0st chinesischer Herkunft und seit langem bekannt ist und bei Spionage-Kampagnen eingesetzt wird; sein Quellcode und seine Builder sind im Netz frei zugänglich. Der neu erschienene Piano ist nur eine der Ableitungen der Gh0st-Version 3.6. Die Autoren von Musical Chairs nutzen eine neue Datei-Hülle zur Tarnung: Piano Gh0st wird dem Opfer in Form einer sich selbst entpackenden ausführbaren Datei (SFW) zugestellt, die als Dropper dient. Die Payload wird im System als Piano.dll gespeichert, die Hauptaufgabe dieser Datei ist die Entschlüsselung, der Download und der Start der in sie integrierten dynamischen Bibliothek (des Trojaners Gh0stRat). Wie auch andere Spielarten von Gh0st 3.6 ist die im Rahmen von Musical Chairs eingesetzte Piano-Variante in der Lage, Tastaturanschläge aufzuzeichnen und entfernten Zugriff zu gewährleisten, unter anderem auch mittels Video- und Audio-Verbindung, sowie auch die administrative Steuerung der Dateien.

„Die von Musical Chairs benutzte Infrastruktur sticht insbesondere durch ihre Langlebigkeit und die Verwendung von einer Vielzahl von Gh0st-Steuerungsserver hervor, die auf ein und demselben Knoten platziert sind“, schreiben die Forscher in dem Blog von Palo Alto weiter. Ihren Beobachtungen zu Folge verwenden die Cyberkriminellen in den letzten zwei Jahren aber nur einen C&C-Server für die Kommunikation mit dem Schädling über ein maßgeschneidertes TCP-Protokoll.

Laut Angaben dienen einige der mit dieser Schadkampagne in Verbindung gebrachten Domains den Autoren von Musical Chairs bereits seit dem Jahr 2010. Die stabilste Domain dieser Infrastruktur seht mit einem Windows 2003 Server auf einer IP-Adresse mit amerikanischer Registrierung in Verbindung, allerdings erfolgt der Zugriff auf diesen Server über ein Interface in chinesischer Sprache. Palo Alto zufolge haben sich seit dem Jahr 2013 insgesamt 32 verschiedene Gh0st-Varianten mit diesem Server verbunden.

Die Forscher äußern keine Vermutung über die mögliche Autorenschaft von Piano Gh0st, doch sie weisen darauf hin, dass im Innern der Gh0stRat-dll ein Pfad eines Debuggers mit chinesischen Hieroglyphen gefunden wurde. Das könnte bedeuten, dass auf dem System des Virenautors ein Sprachpaket für die chinesische Sprache installiert war (GB2312).

Der RAT-Trojaner Gh0st wird normalerweise mit Hilfe von Spam-Versendungen, die von gehackten Accounts verschickt werden, verbreitet. Die an eine solche Mail angehängte Schaddatei trägt meist einen verlockenden Namen, wie z.B. Beautiful Girls.exe, Sexy Girls.exe oder Gift card.exe. Gemäß den Informationen von Palo Alto sind die von den Spammern hier eingesetzten Social-Engineering-Elemente überaus trivial, die Auswahl der Ziele ist eher „abenteuerlich“ als spezifiziert, und die Versendungen stammen in der Regel von gehackten Postfächern bei kostenlosen amerikanischen ISP.

„Die Accounts selbst machen einen legitimen Eindruck und wurden höchstwahrscheinlich von den Autoren der Attacke kompromittiert“, vermuten die Forscher. „In vielen Fällen werden Phishing-Mails an alle Kontakte aus dem Adressbuch des Opfers geschickt, darunter auch an no-reply-Adressen, die der Betreiber normalerweise ignoriert.“ Nach Aussage von Palo Alto sind die Angriffe von Piano Gh0st derzeit hauptsächlich auf das Gebiet der USA begrenzt.

Quelle: Threatpost

Autoren der Cyberattacke Musical Chairs aktualisieren RAT

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach