Palo Alto Networks meldet Rückkehr von Poison Ivy
Remote-Access-Trojaners zielt auf pro-demokratische Aktivisten
München, den 22. April 2016 – Unit 42, Malware-Analyseteam von Palo Alto Networks, hat zuletzt eine neue Variante von Poison Ivy (auch bekannt als IVY) beobachtet. Seit vielen Jahren nutzen weniger qualifizierte und fortgeschrittene Akteure gleichermaßen den Remote-Access-Trojaner (RAT). Malware-Autoren versuchen stets, funktionsreiche Tools zu entwickeln, die einfach zu verwenden und sowohl von Host- als auch Netzwerk-basierten Erkennungssystemen schwer zu identifizieren sind. Poison Ivy hat eine komfortable grafische Benutzeroberfläche (GUI), um die kompromittierten Hosts zu verwalten und bietet einen einfachen Zugang zu einer reichen Palette von Post-Compromise-Tools. Die Malware kam nun gezielt gegen pro-demokratische Organisationen und Unterstützer in Hongkong zum Einsatz, die bereits seit längerer Zeit ein Ziel von moderner Cyberattacken sind.
Trotz seiner Einfachheit waren die Erkennungsraten für Poison Ivy sowohl durch AV- als auch IDS-Systeme immer recht niedrig. Möglicherweise haben deswegen seit Mitte der 2000er Jahre die Bedrohungsakteure Poison Ivy häufig verwendet, um damit Brückenköpfe innerhalb von Zielorganisationen zu etablieren. Dies trat zuletzt jedoch relativ selten auf im Vergleich zu früheren Jahren. Seit der letzten Veröffentlichung von Version 2.3.2 im Jahr 2008 waren neue Varianten des Tools ebenfalls eher selten zu sehen, vor allem Versionen, die die Kernkommunikationsprotokolle ändern.
Unit 42 beobachtete nun eine neue Version von Poison Ivy, die die Search-Order-Hijacking-Technik DLL Sideloading verwendet, die häufig in Malware wie PlugX zum Einsatz kommt. Der Poison Ivy Builder bietet optional als Ausgabeformat entweder eine PE-Datei oder Shellcode. In diesem Fall wurde die Backdoor als Shellcode gebaut und dann verschleiert, um eine Erkennung zu verhindern.
Im März hat Unit 42 diese neue Variante von Poison Ivy Variante genauer observiert und SPIVY genannt. Sie wird ausgeliefert mittels „bewaffneten“ Dokumenten unter Ausnützung der Sicherheitslücke CVE-2015-2545. Die verwendeten Dokumente sind als Köder/Lockvogel („Decoy“) vorgesehen, da in allen Samples Themen mit Bezug auf die jüngsten Pro-Demokratie-Veranstaltungen Hongkong enthalten sind. Diese Decoy-Dokumente sind eine gängige Technik, die von vielen Akteuren verwendet wird, um Opfer dazu zu verleiten, dass sie glauben, legitime Dateien von Spear-Phishing-E-Mails geöffnet haben. Der Angreifer sendet eine bösartige Datei, die den Host mit Malware infiziert und zeigt dann ein sauberes Dokument, das einen Inhalt enthält, den das Opfer zu sehen erwartet. Die Köderdokumente im Zusammenhang mit SPIVY sind bemerkenswert, weil sie sehr spezifisch auf Ereignisse und Organisationen verweisen, die nicht auf breiter Ebene oder außerhalb der Region Hongkong Region und der Pro-Demokratie-Bewegung bekannt sind.
