Malware

Modifizierte Malware von Turla-Gruppe wird bei gezielten Angriffen genutzt

Modifizierte Malware von Turla-Gruppe wird bei gezielten Angriffen genutzt

Palo Alto Network nimmt AcidBox unter die Lupe

Bereits 2014 berichteten die Medien über die Turla-Gruppe als neuen, raffinierten Angreifer im Cyberraum. Nach Ansicht des estnischen Auslandsgeheimdienstes waren die Cyberangreifer russischen Ursprungs und operierten im Auftrag des FSB. Damals war ihre Kernelmode-Malware auch der erste öffentlich beschriebene Fall, in dem ein Gerätetreiber eines Drittanbieters missbraucht wurde, um DSE (Driver Signature Enforcement) zu deaktivieren. Dieser Security-Mechanismus, eingeführt in Windows Vista, sollte verhindern, dass nicht signierte Treiber in den Kernelspace geladen werden. Turla nutzte den signierten VirtualBox-Treiber, VBoxDrv.sys v1.6.2, aus, um DSE zu deaktivieren und anschließend ihren unsignierten Nutzlast-Treiber zu laden.

Palo Alto Networks hat nun neue Erkenntnisse zu dieser Bedrohung gewonnen. Die Experten für Cyber Security weisen darauf hin, dass eine gewisse Unklarheit über diesen Exploit besteht, da er oft allgemein als CVE-2008-3431 bezeichnet wird. Der von Turla verwendete Exploit missbraucht in Wirklichkeit jedoch zwei Schwachstellen, von denen nur eine in der oben erwähnten CVE behoben wurde. Die andere Schwachstelle hat Turla in der ersten Version ihres Exploits zusammen mit CVE-2008-3431 ausgenutzt. Die zweite Version des Exploits, vermutlich 2014 mit der Kernelmode-Malware eingeführt, nutzt nur die ungepatchte Schwachstelle.

In 2019 fanden die Experten heraus, dass ein noch unbekannter Akteur über die zweite ungepatchte Schwachstelle nicht nur den VirtualBox VBoxDrv.sys-Treiber v1.6.2, sondern auch alle anderen Versionen bis v3.0.0 ausnutzen konnte. Darüber hinaus ergaben die Untersuchungen, dass dieser unbekannte Angreifer die Version 2.2.0 des VirtualBox-Treibers ausnutzte, um im Jahr 2017 mindestens zwei verschiedene russische Unternehmen anzugreifen. Palo Alto Networks geht davon aus, dass dies geschah, weil die Treiberversion 2.2.0 nicht als anfällig bekannt war und daher höchstwahrscheinlich nicht auf dem Radar von Sicherheitsanbietern stand. Da es keine weiteren Opfer gab, handelt es sich offenbar um eine sehr seltene Malware, die nur bei gezielten Angriffen zum Einsatz kommt.

Die Angreifer verwendeten eine bisher unbekannte Malware-Familie, der die Forscher den Namen AcidBox gaben. Der erste Teil ist ein Anagramm des Gerätenamens des Treibers der Malware und der zweite Teil stammt von VirtualBox. Aufgrund der Komplexität und Seltenheit der Malware und der Tatsache, dass sie Teil eines größeren Tool-Sets ist, gehen die Forscher davon aus, dass sie von einem versierten Bedrohungsakteur für gezielte Angriffe verwendet wurde. Es ist wahrscheinlich, dass diese Malware auch heute noch Gebrauch findet, insofern der Angreifer noch aktiv ist. Die Forscher gehen jedoch davon aus, dass die Malware bis zu einem gewissen Grad umgeschrieben wurde. Auf der Grundlage der vorliegenden Informationen ist nicht davon auszugehen, dass dieser unbekannte Angreifer mit Turla in Verbindung steht, mit Ausnahme des verwendeten Exploits.

Palo Alto Networks hat für diese Angriffe ein Adversary Playbook erstellt, das hier zu finden ist.