Möglicher Nachfolger von Sunburst: Tomiris-Backdoor

Kaspersky_news

Beitrag teilen

Tomiris-Backdoor: Möglicherweise neue Aktivitäten des Bedrohungsakteurs hinter Sunburst-Attacke. Bei der Untersuchung einer noch unbekannten Advanced Persistence Threat (APT) identifizierten Kaspersky-Forscher eine neue Malware, die mehrere wichtige Attribute aufweist, die potenziell auf eine Verbindung zum Bedrohungsakteur DarkHalo hinweist, der für den Sunburst-Angriff verantwortlich ist. Dabei handelt es sich um einen der auswirkungsreichsten Supply-Chain-Attacken der vergangenen Jahre.

Der Sunburst-Sicherheitsvorfall geriet im Dezember 2020 in die Schlagzeilen: Der Bedrohungsakteur DarkHalo kompromittierte einen bekannten Anbieter von Unternehmenssoftware und nutzte dessen Infrastruktur, um unter dem Deckmantel legitimer Software-Updates Spyware zu verbreiten. Danach schien der Akteur verschwunden zu sein. Denn nach Sunburst wurden keine größeren Vorfälle mehr entdeckt, die diesem Akteur zugeschrieben werden konnten. Die Ergebnisse der jüngsten Untersuchungen des Global Research and Analysis Teams (GReAT) bei Kaspersky zeigen jedoch, dass dies nicht der Fall ist.

Anzeige

DNS-Hijacking-Angriff gegen Regierungsorganisationen

Im Juni 2021 – mehr als sechs Monate nach dem Abtauchen von DarkHalo – identifizierten Kaspersky-Forscher Spuren eines erfolgreichen DNS-Hijacking-Angriffs gegen mehrere Regierungsorganisationen im selben Land. Bei DNS-Hijacking handelt es sich um einen Angriff, bei dem ein Domänenname – der zum Einsatz kommt, um die URL-Adresse einer Webseite mit der IP-Adresse des Servers zu verbinden, auf dem die diese gehostet ist – so verändert wird, dass der Netzwerkverkehr auf einen vom Angreifer kontrollierten Server umgeleitet wird. In dem von Kaspersky entdeckten Fall versuchten die Zielpersonen der Cyberattacke, auf die Web-Schnittstelle eines E-Mail-Dienstes des Unternehmens zuzugreifen, wurden aber auf eine gefälschte Kopie dieser umgeleitet und luden infolgedessen ein schädliches Software-Update herunter. Die Kaspersky-Forscher folgten dem Weg der Angreifer und fanden heraus, dass dieses „Update“ die bisher unbekannte Backdoor ,Tomiris‘ enthielt.

Backdoor holt weitere Malware-Verstärkung

Die weitere Analyse ergab, dass der Hauptzweck der Backdoor darin bestand, im angegriffenen System Fuß zu fassen und weitere schädliche Komponenten herunterzuladen, die jedoch bei der Untersuchung nicht identifiziert werden konnten. Allerdings zeigt die Tomiris-Backdoor große Ähnlichkeit mit Sunshutttle – der Malware, die beim Sunburst-Angriff zum Einsatz kam:

  • Genau wie Sunshuttle wurde Tomiris in der Programmiersprache Go entwickelt.
  • Beide Backdoors nutzen ein einziges Verschlüsselungs-/Verschleierungsschema, um sowohl Konfigurationen als auch Netzwerkverkehr zu kodieren.
  • Beide stützen sich auf geplante Aufgaben, um ihre Aktivitäten zu verbergen, und verwenden Zufälligkeiten und Sleep Delays.
  • Der Workflow beider Programme, insbesondere die Art und Weise, wie die Features in Funktionen aufgeteilt sind, ähnelt sich so sehr, dass die Kaspersky-Analysten vermuten, dass dies auf gemeinsame Entwicklungspraktiken hindeuten könnte.
  • Sowohl in Tomiris („isRunned“) als auch in Sunshuttle („EXECED“ statt „executed“) wurden Fehler im Englischen gefunden. Dies deutet darauf hin, dass beide Schadprogramme von Personen erstellt wurden, deren Muttersprache nicht Englisch ist. Es ist allgemein bekannt, dass der DarkHalo-Akteur russisch spricht.
  • Die Tomiris-Backdoor wurde in Netzwerken entdeckt, in denen weitere Rechner mit Kazuar infiziert waren – eben jene Backdoor, die für ihre Code-Überschneidungen [2] mit der Sunburst-Backdoor bekannt ist.

„Keiner dieser Punkte reicht für sich allein genommen aus, um Tomiris und Sunshuttle mit ausreichender Sicherheit in Verbindung zu bringen“, kommentiert Pierre Delcher, Sicherheitsforscher bei Kaspersky. „Wir geben zu, dass einige dieser Ähnlichkeiten zufällig sein könnten, sind aber dennoch der Meinung, dass sie in Summe zumindest die Möglichkeit einer gemeinsamen Urheberschaft oder gemeinsamer Entwicklungspraktiken ergeben.“

Auffällige Ähnlichkeiten der beiden Backdoors

„Wenn unsere Vermutung, dass eine Verbindung zwischen Tomiris und Sunshuttle besteht, korrekt ist, würde dies ein neues Licht auf die Art und Weise werfen, wie Bedrohungsakteure ihre Kapazitäten neu aufstellen, nachdem sie entdeckt wurden“, ergänzt Ivan Kwiatkowski, Sicherheitsforscher bei Kaspersky. „Wir möchten die Threat-Intelligence-Community dazu ermutigen, diese Untersuchung zu reproduzieren und ihre Meinung zu den Ähnlichkeiten zwischen Sunshuttle und Tomiris zu teilen, die wir entdeckt haben.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Chinesische Angriffe auf OpenAI

2023 machte der vermutlich in der Volksrepublik China ansässige Threatactor SweetSpecter erstmals von sich reden. Damals zielten seine Cyberangriffe auf ➡ Weiterlesen

Hackerangriff auf Stromanbieter Tibber

Vor wenigen Tagen gab es einen Hackerangriff auf den Stromanbieter Tibber und seinen Verkaufs-Store. Laut Anbieter haben die Hacker zwar ➡ Weiterlesen

Gratis Entschlüsselungs-Tool für Shrinklocker-Ransomware

Für Opfer von Attacken mit der Shrinklocker-Ransomware hat Bitdefender einen kostenlosen Dekryptor entwickelt um verschlüsselte Dateien wiederherstellen können. Das ursprünglich ➡ Weiterlesen

Hacker attackieren statistisches Bundesamt Destatis

Das Statistische Bundesamt - Destatis - wurde Opfer eines Hackerangriff. Da es Hinweise auf ein Datenleck gab, wurde das Meldesystem ➡ Weiterlesen

Leitfaden zur KI-Verordnung

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Zwei Drittel der Unternehmen brauchen Hilfe bei der Umsetzung der KI-Verordnung ➡ Weiterlesen

Bring your own KI

In jedem dritten Unternehmen werden private KI-Zugänge genutzt. Auf der anderen Seite hat bisher nur jedes siebte Unternehmen Regeln zum ➡ Weiterlesen

Datensicherheit: Backup-Strategie ist das Rückgrat

Als Folge des fehlerhaften CrowdStrike Updates im Sommer diesen Jahres kam es bei fast jedem zweiten betroffenen Unternehmen in Deutschland ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen