Auf der internationalen Konferenz Security Analyst Summit, haben die Experten unseres Kaspersky Global Research and Analysis Team (GReAT) einige sehr interessante Forschungsergebnisse präsentiert. Auf jedes einzelne dieser Ergebnisse möchten wir in diesem Beitrag nicht detailliert eingehen, aber dennoch die relevantesten Fakten kurz skizzieren.
Spyware-Plattform StripedFly
Fast schon eine Detektivgeschichte über eine Malware, die einst als regulärer Monero-Krypto-Miner entdeckt wurde, bei der es sich in Wirklichkeit aber um eine komplexe Modular-Bedrohung handelt, die sowohl Windows- als auch Linux-Systeme infizieren kann. Die StripedFly-Module können Informationen von einem Computer entwenden, Screenshots erstellen, Audioaufnahmen über ein Mikrofon tätigen und WLAN-Passwörter abfangen. Die Malware ist jedoch nicht nur zu Spionagezwecken geeignet, sondern verfügt zudem über Module, die als Ransomware und zum Schürfen von Kryptowährung eingesetzt werden können.
Besonders interessant ist die Tatsache, dass die Bedrohung über den Exploit EthernalBlue verbreitet werden kann, obwohl dieser Vektor bereits im Jahr 2017 gepatcht wurde. Zudem kann StripedFly gestohlene Schlüssel und Passwörter nutzen, um Linux- und Windows-Systeme, auf denen ein SSH-Server läuft, zu infizieren. Eine detaillierte Studie mit Kompromittierungs-Indikatoren finden Sie auf unserem Securelist-Blog.
Details zur „Operation Triangulation“
Ein weiterer Bericht des Security Analyst Summit war der finalen Untersuchung der Operation Triangulation gewidmet; eine Malware, die auch unsere Mitarbeiter ins Visier genommen hatte. Eine detaillierte Analyse der Bedrohung ermöglichte es unseren Experten, fünf Schwachstellen im iOS-System ausfindig zu machen, die von diesem Bedrohungsakteur ausgenutzt wurden. Vier davon (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 und CVE-2023-41990) waren Zero-Day-Schwachstellen. Sie betrafen nicht nur das iPhone, sondern auch iPod, iPad, macOS, Apple TV und Apple Watch. Zudem stellte sich heraus, dass Angreifer Geräte über iMessage nicht nur infizieren, sondern auch den Safari-Browser angreifen konnten. Hier erfahren Sie, wie unsere Experten diese Bedrohung analysiert haben.
Neue Lazarus-Kampagne
Der dritte Bericht unserer GReAT-Experten galt neuen Angriffen der Lazarus-Gruppe, die mittlerweile auf Software-Entwickler abzielt (von denen einige bereits mehrfach angegriffen wurden) und aktiv Supply-Chain-Angriffe einsetzt.
Über Schwachstellen in legitimer Software zur Verschlüsselung der Web-Kommunikation infiziert Lazarus das System und wendet ein neues SIGNBT-Implantat an, dessen Hauptteil größtenteils im Speicher arbeitet. Es dient dazu, das Opfer genauer zu studieren (Netzwerkeinstellungen, Namen von Prozessen und Nutzern herauszufinden) und zusätzliche schädliche Nutzlast auszuführen. Insbesondere lädt es eine verbesserte Version der bereits bekannten LPEClient-Backdoor herunter, die ebenfalls im Speicher läuft und die dann wiederum Malware ausführt, die dazu befähigt ist, Anmeldedaten oder sonstige andere Daten zu entwenden. Technische Details über die neuen Tools der APT-Gruppe Lazarus sowie Kompromittierungs-Indikatoren finden Sie auf unserem Securelist-Blog.
TetrisPhantom-Angriff
Zusätzlich gaben die Experten Details bezüglich des TetrisPhantom-Angriffs preis, der auf Regierungsbehörden innerhalb der APAC-Region abzielt(e). TetrisPhantom setzt auf die Kompromittierung diverser USB-Laufwerke, die Hardware-Verschlüsslung anbieten und üblicherweise von Regierungsorganisationen verwendet werden. Während der Untersuchung dieser Bedrohung identifizierten Experten eine ganze Spionage-Kampagne, die eine Reihe schädlicher Module einsetzt, um Befehle auszuführen, Daten und Informationen kompromittierter Computer zu sammeln und diese dann auf andere Rechner zu übertragen, die ebenfalls sichere USB-Laufwerke verwenden. Einige Details über diese Kampagne finden Sie in unserem Quartalsbericht über APT-Bedrohungen.