VIRENDEFINITION
Virentyp: Advanced Persistent Threat (APT)
Was ist Epic Turla?
Turla, auch bekannt als „Snake“ oder „Uruburos“, ist eine der komplexesten laufenden Cyberspionage-Kampagnen. Die neueste Kaspersky-Forschung hierzu zeigt, dass Epic die erste Phase des Turla-Infektionsmechanismus darstellt.
Die Ziele von Epic lassen sich in folgende Kategorien aufteilen: Regierungsbehörden (Innenministerium, Wirtschaftsministerium, Außenministerium, Geheimdienste), Botschaften, Militäreinrichtungen, Forschungs- und Bildungsorganisationen und Pharmazieunternehmen.
Die meisten Opfer befinden sich im Nahen Osten und in Europa. Es wurden jedoch vereinzelt auch Opfer in anderen Regionen getroffen, darunter auch die USA. Insgesamt haben die Kaspersky-Experten mehrere Hundert angegriffene IPs in mehr als 45 Ländern verzeichnet – eine Liste, die von Frankreich angeführt wird.
Die Angriffe lassen sich anhand des Vektors der Erstinfektion in verschiedene Kategorien aufteilen:
- Spear-Phishing-E-Mails mit Adobe PDF-Exploits (CVE-2013-3346 und CVE-2013-5065)
- Social Engineering, um den Benutzer dazu zu bewegen, Malware mit SCR-Dateierweiterung auszuführen, die manchmal im RAR-Format gepackt ist
- Watering-Hole-Angriffe mit Java-Exploits (CVE-2012-1723), Adobe Flash-Exploits (unbekannt) oder Internet Explorer 6-, 7- oder 8-Exploits (unbekannt)
- Watering-Hole-Angriffe, die auf Social Engineering setzen, um die Benutzer dazu zu bewegen, falsche Flash Player-Installer auszuführen
Bedrohungsdetails
Die Angreifer nutzen sowohl direkte Spear-Phishing-E-Mails als auch Watering-Hole-Angriffe, um Opfer zu infizieren. Als „Watering Holes“ werden Webseiten beschrieben, die häufig von potenziellen Opfern besucht werden. Diese Webseiten werden durch die Angreifer präpariert, indem sie schädlichen Code in die Seite injizieren. Abhängig von der IP-Adresse des Besuchers – wenn also beispielsweise die IP einer Regierungsbehörde erkannt wird – stellen die Angreifer Java- oder Browser-Exploits, signierte, aber falsche Adobe Flash Player-Software oder eine gefälschte Version der Microsoft Security Essentials bereit.
Insgesamt haben wir mehr als 100 injizierte Webseiten entdeckt. Die Auswahl dieser Webseiten zeigt die Interessen der Angreifer. So gehören beispielsweise viele der infizierten spanischen Webseiten zu lokalen Regierungen.
Sobald der Benutzer einmal infiziert ist, stellt die Epic-Backdoor umgehend eine Verbindung zum Command-and-Control-Server (C&C) her, um ein Paket mit den Systeminformationen des Opfers zu senden. Die Backdoor ist auch bekannt als „WorldCupSec“, „TadjMakhal“, „Wipbot“ und „Tadvig“.
Sobald ein System übernommen wurde, erhält der Angreifer eine kurze Zusammenfassung mit Informationen zum Opfer, auf deren Basis er vorkonfigurierte Batch-Dateien bereitstellt, die eine Reihe von Befehlen zur Ausführung enthalten. Zusätzlich lädt der Angreifer individuelle Tools zur horizontalen Verschiebung seines Angriffs (Lateral Movement) hoch. Zu diesen Tools zählen ein Keylogger, ein RAR-Packprogramm und Standardtools wie ein DNS-Abfragetool von Microsoft.
Wie erkenne ich, ob mein Computer mit Epic Turla infiziert ist?
Am besten ermitteln Sie, ob Ihr Computer mit Epic Turla infiziert ist, indem Sie herausfinden, ob eine Eindringung stattgefunden hat. Zuverlässige Antiviren-Produkte, wie z. B. die von Kaspersky Lab, können die Bedrohung identifizieren.
Kaspersky-Produkte erkennen die folgenden Module von Epic Turla:
Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h
Wie kann ich mich vor Epic Turla schützen?
- Halten Sie Betriebssystem und sämtliche Anwendungen Dritter – insbesondere Java, Microsoft Office und Adobe Reader – immer aktuell.
- Installieren Sie keine Software von nicht vertrauenswürdigen Quellen, z. B. über willkürliche Pop-ups auf unbekannten Seiten.
- Seien Sie bei E-Mails von unbekannten Quellen auf der Hut, die verdächtige Anhänge oder Links enthalten.
Es sollte immer eine Sicherheitslösung ausgeführt werden, in der alle Funktionen aktiviert sind. Darüber hinaus müssen auch die Datenbanken der Lösung immer aktuell sein.