Spyware Backdoor

Cyberspionage-Gruppe Chafer hat Botschaften im Visier

, Moskau, Ingolstadt, Kaspersky | Autor: Herbert Wieler

Cyberspionage-Gruppe Chafer hat Botschaften im Visier

Aktualisierter Remexi-Backdoor gefunden

Die Security Experten von Kaspersky Lab haben mehrere Kompromittierungsversuche gegen ausländische diplomatische Einrichtungen im Iran mittels einer selbstentwickelten Spyware identifiziert. Bei den Angriffen kamen wohl eine aktualisierte Version des Remexi-Backdoor-Programms sowie verschiedene legitime Tools zum Einsatz. Hinter der Remexi-Backdoor wird eine verdächtige Farsi sprechende Cyberspionagegruppe namens „Chafer“ vermutet, die zuvor mit digitalen Observationen von Einzelpersonen im Nahen Osten in Verbindung gebracht wurde. Der Fokus auf Botschaften könnte eine Neuorientierung der Gruppe sein.

Die Operation zeigt, wie Bedrohungsakteure in Entwicklungsregionen Cyberangriffskampagnen mittels relativ einfacher Malware in Kombination mit öffentlich verfügbaren Tools umsetzen. In diesem Fall verwendeten die Angreifer eine aktualisierte Version der Remexi-Backdoor, die eine Remote-Verwaltung des kompromittierten Opfer-Computers ermöglicht.

Kaspersky Lab warnt vor Angriffen mittels einfacher Malware in Kombination mit öffentlichen Tools

Die Malware Remexi wurde erstmals im Jahr 2015 entdeckt und von der Cyberspionagegruppe Chafer für eine digitale Überwachungsoperation eingesetzt, die es auf Einzelpersonen und Organisationen im Nahen Osten abgesehen hatte. Die in der aktuellen Kampagne verwendete Backdoor weist Ähnlichkeiten im Code mit bekannten Samples der Remexi-Malware auf. Dass zudem dieselben Ziele anvisiert werden, lässt die Kaspersky-Experten vermuten, dass die Cyberspionage-Gruppe Chafer hinter der Kampagne steckt.

Die nun entdeckte Remexi-Version kann Befehle aus der Ferne auszuführen und Screenshots, Browserdaten, einschließlich Nutzeranmeldedaten, Logins und Verlauf sowie eingegebenen Text erfassen. Die gestohlenen Daten werden mithilfe der legitimen BITS-Anwendung (Background Intelligent Transfer Service) von Microsoft, einer Windows-Komponente, die Windows-Hintergrund-Updates ermöglichen soll, herausgefiltert. Der Trend, Malware mit angemessenem oder legitimem Code zu kombinieren, hilft Angreifern dabei, Zeit und Ressourcen bei der Erstellung von Malware zu sparen und die Attribution komplizierter zu machen.

„Wenn wir über potentielle staatlich unterstützte Cyberspionage-Kampagnen sprechen, denken viele oft an fortgeschrittene Operationen mit komplexen Tools, die von Experten entwickelt wurden“, so Denis Legezo, Sicherheitsforscher bei Kaspersky Lab. „Die Personen hinter dieser Spyware-Kampagne scheinen jedoch eher Systemadministratoren als ausgeklügelte Bedrohungsakteure zu sein: Sie wissen, wie man codiert, aber ihre Kampagne beruht mehr auf der kreativen Verwendung bereits vorhandener Tools als auf neuen, erweiterten Funktionen oder einer ausgefeilten Code-Architektur. Allerdings können selbst relativ einfache Tools erheblichen Schaden anrichten. Daher empfehlen wir Organisationen, ihre wertvollen Informationen und Systeme vor Bedrohungen jeglicher Art zu schützen und Threat Intelligence zu nutzen, um zu verstehen, wie sich die Landschaft entwickelt.“

Kaspersky-Empfehlungen zum Schutz vor zielgerichteter Spyware

  • Einsatz geeigneter Sicherheitslösungen mit Technologien zum Schutz vor zielgerichteten Angriffen und von Threat Intelligence Services wie Kaspersky Threat Management and Defense zur Analyse von Netzwerkanomalien und für mehr Einblick der Sicherheitsteams in das Netzwerk sowie automatisierte Reaktionen;
  • Cyber-Awareness-Schulungen wie Kaspersky Security Awareness schulen Mitarbeiter, verdächtige Nachrichten zu erkennen; E-Mails sind nach wie vor ein häufiges Einfallstor für zielgerichtete Attacken;
  • aktuelle Threat-Intelligece-Daten helfen dabei, die aktuellen Taktiken und Tools der Cyberkriminellen zu kennen und die bisher genutzten Security Controls zu erweitern.