Analyse: Spionageakteur Cloud Atlas nutzt jetzt polymorphe Malware

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: Kaspersky
Veröffentlicht von SecuPedia-Redaktion am 13. August 2019.

Moskau/Ingolstadt, 12.08.2019 - Der APT-Akteur (Advanced Persistent Threat) ,Cloud Atlas‘, erstmals 2014 identifiziert [1] und auch bekannt als ,Inception‘, hat nach Erkenntnissen von Kaspersky sein Angriffsarsenal mit neuen Tools erweitert: mit einer HTML-Anwendung und dem VBShower-Modul, die beide polymorph seien [2]. Dadurch könne eine Erkennung durch klassische Kompromittierungsindikatoren (Indicators of Compromise, IoC) verhindert werden. Nach einer aktuellen Analyse des Cybersicherheitsunternehmens gehören zu den neuesten Zielen unter anderem die internationale Wirtschafts- und Luftfahrtindustrie sowie Regierungs- und religiöse Organisationen in Portugal, Rumänien, der Türkei, der Ukraine, Russland, Turkmenistan, Afghanistan und Kirgisistan.


Bei erfolgreicher Infiltration könne Cloud Atlas:

  • Informationen über das infiltrierte System sammeln,
  • Kennwörter protokollieren und
  • aktuelle .txt-, .pdf- und XLS-DOC-Dateien an einen Befehls- und Steuerungsserver senden.

 

Der alte und neue Infektionsweg im Vergleich
Dazu berichtet Kaspersky: Bisher hatte Cloud Atlas zunächst eine Spear-Phishing-E-Mail mit einem schädlichen Anhang an ein Ziel gesendet. Öffnete das Opfer den Anhang, wurde die Malware PowerShower gestartet, die zunächst zum Ausspähen und zum Nachladen weiterer schädlicher Module ausgeführt wurde, um weitere Aktionen der Cyberkriminellen zu ermöglichen [3].

Die neue Infektionskette verschiebt die Ausführung von PowerShower auf einen späteren Zeitpunkt. Stattdessen wird nach der Erstinfektion eine schädliche HTML-Anwendung heruntergeladen und auf dem Zielcomputer ausgeführt. Diese sammelt erste Informationen über den angegriffenen Computer und lädt VBShower, ein weiteres schädliches Modul, herunter und führt es aus. VBShower löscht dann Hinweise auf das Vorhandensein von Malware im System und konsultiert die Angreifer über Command-and-Control-Server, um über weitere Aktionen zu entscheiden. Je nach Befehl lädt diese Malware entweder PowerShower oder die Backdoor einer anderen bekannten zweiten Stufe von Cloud Atlas herunter und führt sie aus [4].

Diese neue Infektionskette sei komplizierter als das Vorgängermodell. Das Hauptunterscheidungsmerkmal sei, dass die schädliche HTML-Anwendung und das VBShower-Modul polymorph seien: Der Code sei in beiden Modulen in jedem Infektionsfall neu und individuell. Laut Kaspersky-Experten soll die Malware so für Sicherheitslösungen unsichtbar gemacht werden, die sich auf bekannte Kompromittieriungsindikatoren (IoC) stützen.

Die Kaspersky-Analyse zu Cloud Atlas ist verfügbar unter diesem Link.

 

Kategorien E-Mail Service konfigurieren

  • Kriminalität mit IT-Bezug (Malware, Phishing, Identitätsdiebstahl, Cyber-Security)
  • Datenschutz / Datensicherheit

Benutzergruppe

  • Alle Benutzer