Gängiger Schädling für zielgerichtete Attacken, PlugX, immer häufiger anzutreffen

Das populäre Tool für den entfernten Zugriff PlugX, das seit dem Jahr 2008 in unterschiedlichen Formen präsent ist, hat wie auch jede andere beliebige Schadsoftware eine überaus zweifelhafte Geschichte. Den Daten der Forscher zufolge erreichte die Popularität von PlugX im Jahr 2014 ihren Höhepunkt, und er war für viele Verbrecherbanden ein zum Standardprogramm gehörender Schädling.

Im Laufe vieler Attacken, insbesondere im zweiten Quartal, wurde dieses Tool nachweislich eingesetzt. Die Experten spekulieren nun über die weitere Verbreitung von PlugX, ein Schädling, der es Verbrechern ermöglicht, die Tastaturbetätigungen aufzuzeichnen, Dateien zu modifizieren und zu kopieren, Screenshots abzufangen und auch Prozesse zu beenden, Anwender abzumelden und den Computer komplett neu zu starten.

Laut einem von dem Unternehmen Crowdstrike herausgegebenen Bericht über globale Bedrohungen war dieser Schädling bereits überaus populär, als er im Jahr 2014 auch in zielgerichteten Attacken auf den Plan trat. Obgleich er bis zu diesem Zeitpunkt schon eine Reihe von Jahren eingesetzt worden war, ist er nun praktisch zu dem wichtigsten Tool eines Dutzends chinesischer Cybercrime-Gangs geworden, deren Aktivität das Unternehmen im Auge hat.

Eine der Modernisierungen des Schädlings aus dem Jahr 2014 bestand in der Veränderung der Verbindungsart mit der Infrastruktur. Nach der Einführung eines neuen Steuerungs- und Kontrollmoduls über DNS lernte der Schädling, Daten an die übergeordneten Knoten der Infrastruktur in Form von langen DNS-Anfragen zu schicken.

Dadurch, dass die Methode zu Erstellung von DNS- und HTTP-Anfragen geändert wurde – was Crowdstrike die Abkopplung von „einigen Protokollen, die mit größerer Wahrscheinlichkeit verfolgt werden“, nennt -, erreichten die Cyberkriminellen, dass der Schädling im letzten Jahr oder irgendwann seit dieser Zeit schwieriger zu detektieren ist.

„Der aufkommende Trend im Einsatz von PlugX spiegelt den wachsenden Glauben an die Möglichkeiten der Plattform wider, was ihren weiteren Einsatz in vielen Sektoren und Ländern rechtfertigt“, heißt es in dem Bericht.

Eine der Gruppen, denen Crowdstike den Einsatz von PlugX zuschreibt, ist eine Hackervereinigung mit den Namen Hurricane Panda. Sie nutzten die neue DNS-Funktion des Schädlings zum Fälschen von Daten in vier DNS-Servern, inklusive so populärer Domains wie Pinterest.com, Adobe.com und Github.com. Anstelle ihrer legitimen IP-Adressen gelang es der Malware, die Domains stattdessen einem PlugX-Controll- und Command-Knoten unterzuschieben.

Der Schädling wird, wie auch schon früher, mit Hilfe einer zielgerichteten Phishing-Attacke verbreitet. Einige Angriffe erfolgen unter Ausnutzung der Zero-Day-Sicherheitslücke aus dem März, CVE-2014-1716, die Microsoft Word- oder RTF-Dokumente betrifft. Andere wiederum nutzen alte, ausgelatschte Lücken in PowerPoint und Excel aus, wie z.B. CVE-2012-0158, die auch in Angriffen von IceFog, Red October und Cloud Atlas ausgenutzt wurden.

Obgleich einige Gruppen, die PlugX verwenden, ihre Methoden geändert haben, indem sie neue Domains registrierten, um die Kontroll- und Steuerungsinfrastruktur des Schädlings zu nutzen, werden auch viele Domains, die im Laufe der letzten sieben Jahre registriert wurden, weiterhin verwendet. Diesen Umstand bewertet Crowdstrike als Zeichen des Erfolges für den Schädling und als Beweis für seine viele Jahre währende Nachhaltigkeit.

Das Unternehmen hat zwei Theorien, die erklären, wie und warum die Malware so gängig geworden ist. Es wird angenommen, dass es entweder einen zentralen Verbreitungskanal für die Schadsoftware gibt, der PlugX in Hackergruppen promotet, oder aber Gruppen, die PlugX in der Vergangenheit nicht eingesetzt haben, haben kürzlich über allgemein zugängliche Repositorys oder aus dem kriminellen Milieu Zugriff auf Kopien des Schädlings erhalten. Doch wie dem auch sei, in jedem Fall gilt: Obwohl der Schädling größtenteils von Cyberkriminellen eingesetzt wird, die sich „im Dunstkreis des chinesischen Einflussbereichs“ befinden, kann sich dieser Trend – wie es in dem Bericht heißt, sehr schnell ändern. Der Schädling wurde in wiederholten Attacken gegen marktwirtschaftliche Strukturen der USA eingesetzt, sowie auch in politisch motivierten Attacken, und seine rasche Bereitstellung „könnte die Voraussetzungen seinen weltweiten Einsatz schaffen“.

„Die sich ständig fortsetzende Weiterentwicklung von PlugX stattet die Cyberkriminellen mit flexiblen Möglichkeiten aus, die von den Netzwerkadministratoren dauernde Wachsamkeit erfordert, damit sie das Netz zuverlässig schützen können“, heißt es in dem Crowdstrike-Bericht.

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.