Autoren der Cyberattacke Musical Chairs aktualisieren RAT

Kürzlich brachten die Experten von Palo Alto Networks Licht ins Dunkel einer Cyberattacke, die den RAT-Trojaner Gh0st verwendet und schon seit mehr als fünf Jahren läuft. Diese Schadkampagne erhielt den Namen Musical Chairs („Reise nach Jerusalem“, das Spiel, bei dem es immer einen Stuhl weniger als Mitspieler gibt); im Juli wurde im Rahmen dieser Kampagne eine neue Variante eines Schädlings verbreitet, der in dem kalifornischen IT-Sicherheitsunternehmen auf den Namen Piano Gh0st getauft wurde.

Die Forscher weisen darauf hin, dass der RAT-Trojaner Gh0st chinesischer Herkunft und seit langem bekannt ist und bei Spionage-Kampagnen eingesetzt wird; sein Quellcode und seine Builder sind im Netz frei zugänglich. Der neu erschienene Piano ist nur eine der Ableitungen der Gh0st-Version 3.6. Die Autoren von Musical Chairs nutzen eine neue Datei-Hülle zur Tarnung: Piano Gh0st wird dem Opfer in Form einer sich selbst entpackenden ausführbaren Datei (SFW) zugestellt, die als Dropper dient. Die Payload wird im System als Piano.dll gespeichert, die Hauptaufgabe dieser Datei ist die Entschlüsselung, der Download und der Start der in sie integrierten dynamischen Bibliothek (des Trojaners Gh0stRat). Wie auch andere Spielarten von Gh0st 3.6 ist die im Rahmen von Musical Chairs eingesetzte Piano-Variante in der Lage, Tastaturanschläge aufzuzeichnen und entfernten Zugriff zu gewährleisten, unter anderem auch mittels Video- und Audio-Verbindung, sowie auch die administrative Steuerung der Dateien.

„Die von Musical Chairs benutzte Infrastruktur sticht insbesondere durch ihre Langlebigkeit und die Verwendung von einer Vielzahl von Gh0st-Steuerungsserver hervor, die auf ein und demselben Knoten platziert sind“, schreiben die Forscher in dem Blog von Palo Alto weiter. Ihren Beobachtungen zu Folge verwenden die Cyberkriminellen in den letzten zwei Jahren aber nur einen C&C-Server für die Kommunikation mit dem Schädling über ein maßgeschneidertes TCP-Protokoll.

Laut Angaben dienen einige der mit dieser Schadkampagne in Verbindung gebrachten Domains den Autoren von Musical Chairs bereits seit dem Jahr 2010. Die stabilste Domain dieser Infrastruktur seht mit einem Windows 2003 Server auf einer IP-Adresse mit amerikanischer Registrierung in Verbindung, allerdings erfolgt der Zugriff auf diesen Server über ein Interface in chinesischer Sprache. Palo Alto zufolge haben sich seit dem Jahr 2013 insgesamt 32 verschiedene Gh0st-Varianten mit diesem Server verbunden.

Die Forscher äußern keine Vermutung über die mögliche Autorenschaft von Piano Gh0st, doch sie weisen darauf hin, dass im Innern der Gh0stRat-dll ein Pfad eines Debuggers mit chinesischen Hieroglyphen gefunden wurde. Das könnte bedeuten, dass auf dem System des Virenautors ein Sprachpaket für die chinesische Sprache installiert war (GB2312).

Der RAT-Trojaner Gh0st wird normalerweise mit Hilfe von Spam-Versendungen, die von gehackten Accounts verschickt werden, verbreitet. Die an eine solche Mail angehängte Schaddatei trägt meist einen verlockenden Namen, wie z.B. Beautiful Girls.exe, Sexy Girls.exe oder Gift card.exe. Gemäß den Informationen von Palo Alto sind die von den Spammern hier eingesetzten Social-Engineering-Elemente überaus trivial, die Auswahl der Ziele ist eher „abenteuerlich“ als spezifiziert, und die Versendungen stammen in der Regel von gehackten Postfächern bei kostenlosen amerikanischen ISP.

„Die Accounts selbst machen einen legitimen Eindruck und wurden höchstwahrscheinlich von den Autoren der Attacke kompromittiert“, vermuten die Forscher. „In vielen Fällen werden Phishing-Mails an alle Kontakte aus dem Adressbuch des Opfers geschickt, darunter auch an no-reply-Adressen, die der Betreiber normalerweise ignoriert.“ Nach Aussage von Palo Alto sind die Angriffe von Piano Gh0st derzeit hauptsächlich auf das Gebiet der USA begrenzt.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.