Spionage-Tool ‚Dtrack‘ greift Finanzinstitute und Forschungszentren an

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: Kaspersky
Veröffentlicht von SecuPedia-Redaktion am 23. September 2019.

Moskau/Ingolstadt, 23.09.2019 - Die Sicherheitsexperten von Kaspersky haben ein bislang unbekanntes Spionagetool entdeckt, das in indischen Finanzinstituten und Forschungszentren gefunden wurde. "Die Spyware ,Dtrack‘ stammt wohl von der Lazarus-Gruppe und wird zum Hoch- und Herunterladen von Dateien, zum Aufzeichnen von Tastenanschlägen und zum Ausführen weiterer Aktionen verwendet, die für ein böswilliges Remote Admin Tool (RAT) typisch sind [1]", erklärt das Cybersicherheitsunternehmen. Basierend auf den Daten der Kaspersky-Telemetrie sei die neu entdeckte Malware aktiv und werde noch für Cyberangriffe verwendet.

Konstantin Zykov Sicherheitsforscher des Global Research und Analysis Team von Kaspersky erklärt: "Die zahlreichen Dtrack-Samples, die wir gefunden haben, zeigen, dass Lazarus eine der aktivsten APT-Gruppen ist, die ständig Bedrohungen entwickelt und weiterentwickelt, um große Industrien anzugreifen. Ihre erfolgreiche Ausführung von Dtrack RAT beweist, dass eine Bedrohung, auch wenn sie zu verschwinden scheint, in einer anderen Gestalt wieder auftauchen kann, um neue Ziele anzugreifen. Forschungszentrum oder Finanzorganisation, die ausschließlich im  kommerziellen Bereich ohne staatliche Tochtergesellschaften tätig sind, sollten die Möglichkeit in Betracht ziehen, von einer hochentwickelten Bedrohung angegriffen zu werden und sich darauf vorbereiten.“

Kaspersky zum Hintergrund: "Im Jahr 2018 entdeckten Kaspersky-Forscher die Malware ‚ATMDtrack‘, die Geldautomaten in Indien infiltrierte und Karteninformationen von Kunden stahl. Nach weiteren Untersuchungen mit der Kaspersky Attribution Engine und anderen Tools fanden die Forscher mehr als 180 neue Malware-Samples, deren Codesequenz Ähnlichkeiten mit ATMDtrack aufwies. Diese zielten jedoch nicht auf Geldautomaten ab. Stattdessen weisen die Funktionen der Dtrack-Malware sie als Spionagetool aus. Beide haben Gemeinsamkeiten mit der Kampagne DarkSeoul aus dem Jahr 2013 [2], die Lazarus zugeschrieben wird. Bei Lazarus handelt es sich um eine berüchtigte Gruppe, die für mehrere Cyberspionage- und Cybersabotage-Operationen verantwortlich sein soll."

Dtrack nutzt Sicherheitsschwächen der Organisationen aus
Dtrack könne als Remote Admin Tool (RAT, Fernwartungstool) verwendet werden, mit dem Angreifer die "vollständige Kontrolle über infizierte Geräte erlangen". Kaspersky: "Organisationen, die von Bedrohungsakteuren mit Dtrack RAT angegriffen werden, weisen häufig schwache Netzwerksicherheitsrichtlinien und Passwörter auf. Außerdem sind sie nicht in der Lage, den Datenverkehr im Unternehmen zu verfolgen. Bei erfolgreicher Implementierung kann die Spyware alle verfügbaren Dateien und ausgeführten Prozesse, die Tastaturanschläge, den Browserverlauf und die Host-IP-Adressen aufführen – einschließlich Informationen zu verfügbaren Netzwerken und aktiven Verbindungen."


Empfohlene Schutzmaßnahmen

  • Eine Software zur Überwachung des Datenverkehrs einsetzen,
  • eine umfassende Sicherheitslösung mit verhaltensbasierten
  • Erkennungstechnologien verwenden,
  • regelmäßig Sicherheitsüberprüfungen der IT-Infrastruktur des Unternehmens durchführen,
  • Mitarbeiter in Sicherheitstrainings für den Umgang mit Bedrohungen sensibilisieren.


Weitere Informationen zu DTrach RAT finden sich unter diesem Link.

 

Kategorien E-Mail Service konfigurieren

  • Kriminalität mit IT-Bezug (Malware, Phishing, Identitätsdiebstahl, Cyber-Security)
  • Datenschutz / Datensicherheit

Benutzergruppe

  • Alle Benutzer