Cardinal RAT und EVILNUM

Palo Alto meldet gezielte Cyberangriffe auf FinTech-Unternehmen

, München/Wien/Zürich, Palo Alto Networks | Autor: Herbert Wieler

Palo Alto meldet gezielte Cyberangriffe auf FinTech-Unternehmen

Kriminelle Hacker nutzen Cardinal RAT und EVILNUM

Schon in der Vergangenheit berichtete Unit 42, das Security-Forschungsteam von Palo Alto Networks, über die kleinvolumige Malware-Familie Cardinal RAT. Seitdem haben die Malware-Forscher diese Bedrohung aktiv überwacht, was nun zur Entdeckung einer Reihe von Angriffen mit einer aktualisierten Version von Cardinal RAT führte. Cyberkriminelle haben eine Reihe von Änderungen an diesem Remote-Access-Trojaner (RAT) vorgenommen, um der Erkennung zu entgehen.

Die aktuell beobachteten Angriffe richteten sich gegen den Finanztechnologiesektor (FinTech). Während der Erforschung dieser Angriffe hat Palo Alto Networks eine mögliche Beziehung zwischen Cardinal RAT und einer anderen Malware-Familie namens EVILNUM entdeckt. EVILNUM ist eine JavaScript-basierte Malware-Familie, die bei Angriffen gegen ähnliche Unternehmen eingesetzt wird. Seit der ursprünglichen Entdeckung von Cardinal RAT haben die Angreifer einige kleinere Angriffe durchgeführt. Die Aktualisierungen beschränken sich auf Verschleierungstechniken, darüber hinaus waren einige Änderungen an der Malware selbst zu verzeichnen.

Die Netzwerkkommunikation und die dem entfernten Betreiber zur Verfügung stehenden Funktionen sind hingegen gleichgeblieben:

  • Sammeln von Informationen über das Angriffsopfer
  • Update-Einstellungen
  • Reverse-Proxy-Funktion
  • Ausführung von Befehlen
  • Autonom durchgeführte Deinstallation
  • Wiederherstellung von Passwörtern
  • Herunterladen und Ausführen neuer Dateien
  • Keylogging
  • Aufzeichnung von Screenshots
  • Durchführung von Updates
  • Entfernung von Cookies aus Browsern

Cardinal RAT und EVILNUM wurden beide bei Angriffen mit gezielter Distribution gegen FinTech-Unternehmen eingesetzt. In einem Fall wurden beide Malware-Familien beim gleichen Ziel in kurzer Zeit beobachtet, während Dropper für beide Familien ähnlich thematisierte Köderdokumente teilen. Auch wenn die beiden Familien nicht miteinander verbunden sind, verfolgen die jeweiligen Akteure ähnliche Interessen.

FinTech-Unternehmen sollten sicherstellen, dass sie vor der verwendeten Malware geschützt sind. Unternehmen mit guter Spam-Filterung, ordnungsgemäßer Systemadministration und aktualisierten Windows-Umgebungen weisen in jedem Fall ein viel geringeres Infektionsrisiko auf.

Generische Abwehrmaßnahmen gegen diese Risiken umfassen:

  • Eingehende E-Mails mit LNK-Datei als Anhang oder ZIP-Dateien, die eine einzige LNK-Datei enthalten, nicht zulassen.
  • Eingehende E-Mails aus externen Quellen, in denen Dokumente mit Makros enthalten sind, nicht zulassen, oder sicherstellen, dass die richtige Richtlinie konfiguriert ist.
  • Einschränkung der Verwendung von Skriptsprachen.

Alle Details zu den Cyberangriffen auf Fintech-Unternehmen mit der Malware CardinalRAT und EVILNUM unter https://unit42.paloaltonetworks.com/cardinal-rat-sins-again-targets-israeli-fin-tech-firms/