NOKKI-Malware-Familie
Palo Alto entdeckt neue RAT-Malware für politisch motivierte Angriffe
Vectra rät zum Netzwerkschutz mit künstlicher Intelligenz
Die IT-Security Experten von Palo Alto Networks melden die Entdeckung der NOKKI-Malware-Familie, die bei Angriffen mit politischem Hintergrund verwendet wird, die unter anderem auf russische-sprachige Personen und Organisationen abzielten. Im Rahmen der Aufklärung dieser Cyberangriffe wurde von Palo Alto Networks eine interessante Verbindung zur Hackergruppe „Reaper“ entdeckt.
Die Hacker der Reaper-Gruppe wurden von verschiedenen Experten Nordkorea zugeschrieben, da diese Kriminellen meist Ziele im Auge haben, die den Interessen des Landes entsprechen. Zu diesen anvisierten Organisationen gehören die Militär- und Verteidigungsindustrie in Südkorea sowie eine Organisation im Nahen Osten. Ein Teil des Vorgehens dieser Hackergruppe umfasst die Verwendung einer neuen Malware-Familie namens DOGCALL. DOGCALL ist ein Remote-Zugriff-Trojaner (RAT), der Hosting-Dienste von Drittanbietern verwendet, um Daten hoch zu laden und Befehle auszuführen.
Palo Alto Networks gibt auf seinem Blog zudem bekannt, wie sich Kunden schützen können.
Welche Maßnahmen Unternehmen grundsätzlich treffen sollten um gegen derartige Attacken bestmöglich geschützt zu sein, erklärt Vectra, Anbieter einer Plattform für künstliche Intelligenz zur Steigerung der IT-Sicherheit.
Gérard Bauer, VP EMEA bei Vectra kommentiert die Entdeckung wie folgt:
„RATs sind eine heimtückische Bedrohung mit gewaltiger Bandbreite, um eine Organisation durch Keylogging, Lauschangriffe, Remote-Ausführung und vieles mehr negativ zu beeinflussen! Während sich die Analyse um die "Reaper Group" nun stark auf die Identifizierung von Signaturen für die anfängliche Infektions-Malware konzentriert, ist die Malware doch schon aktiv und richtet Schaden an.
Dieser Ansatz, der auf „Nachsorge“ basiert, ist einfach nicht flexibel und schnell genug, um sich effektiv zu schützen. Motivierte und gut ausgestattete Angreifer, insbesondere diejenigen, die eventuell staatlich unterstützt werden, werden immer einen Weg finden, wenn sie viel Zeit und Ressourcen haben.
Unternehmen sollten auch Schritte unternehmen, um sicherzustellen, dass sie aktive RATs in ihren Systemen schneller identifizieren können – bevor Signaturen und andere Hilfen verfügbar sind. Ein verhaltensorientierter Ansatz zur Erkennung RATs und damit verbundenes Command & Control (C2)-Verhalten ist viel erfolgsversprechender, sogar wenn es sich um eine zuvor nicht sichtbare RAT handelt.
Eine komplexe Malware-Analyse per Hand durchzuführen, ist bei großen Angriffen mit bisher unbekannter Malware wie der RAT der Reaper Group langwierig und mühsam. Rein mit menschlicher Hilfe kann diese nicht in einer angemessenen Geschwindigkeit oder Größenordnung erreicht werden, um Organisation zu schützen. Bei solchen Aufgabe hilft nur eine permanente, automatisierte und auf künstlicher Intelligenz basierende Bedrohungssuche. Sie erkennt RAT- und C2-Verhaltensmerkmale sowie kontextbezogene Informationen automatisch, damit Sicherheitsteams professionell und schnell eingreifen sowie die Bedrohung identifizieren, isolieren und beheben können, bevor ein Schaden entsteht. "
