Das legitime Tools Advanced IP Scanner, das gerne von Netzwerkadministratoren verwendet wird, ist als mit einer Malware verseuchten Version aufgetaucht. Die AdvancedIPSpyware: Backdoor-Version des Advanced IP Scanner späht Unternehmen auch in Westeuropa aus. Kaspersky Experten haben die Kampagne untersucht.
Kaspersky-Experten haben eine neue Spyware namens AdvancedIPSpyware entdeckt. Dabei handelt es sich um eine Backdoor-Version des legitimen Tools Advanced IP Scanner, das von Netzwerkadministratoren verwendet wird, um lokale Netzwerke (LANs) zu kontrollieren. Die AdvancedIPSpyware-Kampagne hat eine breite Viktimologie mit betroffenen Unternehmen in Westeuropa, Lateinamerika, Afrika, Südasien, Australien sowie den GUS-Staaten. Die Gesamtzahl der im gesamten Verlauf der Kampagne infizierten Opfer beträgt bereits etwa 80.
Mit Malware verseuchte Software Advanced IP Scanner
Cyberkriminelle fügen immer öfter schädlichen Code in legitime Software ein, um ihre schädlichen Aktivitäten zu verbergen. Seltener kommt es vor, dass die Backdoor-Binärdatei tatsächlich signiert wird, wie es bei AdvancedIPSpyware der Fall ist. Das Zertifikat, mit dem die Malware signiert wird, wurde zuvor höchstwahrscheinlich gestohlen. Die Malware wurde auf zwei Websites gehostet, deren Domains fast identisch mit der legitimen Website des Advanced IP Scanner sind und sich nur durch einen Buchstaben unterscheiden; ansonsten sehen die Seiten gleich aus. Der einzige Unterschied ist die Schaltfläche „kostenloser Download“ auf den schädlichen Websites.
AdvancedIPSpyware ist modular aufgebaut. Typischerweise ist eine solche modulare Architektur bei Malware zu finden, deren Entwickler staatlich-unterstützte Akteure sind. Allerdings waren die Angriffe in diesem Fall nicht zielgerichtet, was darauf schließen lässt, dass sich AdvancedIPSpyware nicht auf politisch motivierte Kampagnen bezieht.
Gefälschte Websites für Downloads
„E-Mail ist die häufigste Infektionsmethode, die sowohl von Cyberkriminellen als auch von Staaten verwendet wird“, kommentiert Jornt van der Wiel, Sicherheitsexperte im Global Research & Analysis Team (GReAT) bei Kaspersky. „Wir haben uns weniger gebräuchliche Techniken angesehen, die von Cyberkriminellen eingesetzt werden – beide sind bekannt und wurden bisher nicht sichtbar gemacht. Die AdvancedIPSpyware zeichnet sich nämlich durch ihre ungewöhnliche Architektur, die Verwendung eines legitimen Tools und eine fast identische Kopie der legitimen Website aus.“
Empfehlungen zum Schutz vor AdvancedIPSpyware
- Remote-Desktop-Dienste (wie RDP) nicht in öffentlichen Netzwerken zur Verfügung stellen, es sei denn, dies ist unbedingt erforderlich.
- Für jeden Dienst ein eigenes sicheres Passwort verwenden.
- Umgehend verfügbare Patches für kommerzielle VPN-Lösungen installieren, die den Zugriff für Remote-Mitarbeiter ermöglichen und als Gateways im Netzwerk fungieren.
- Software auf allen Geräten stets aktuell halten, um zu verhindern, dass Schwachstellen ausgenutzt werden.
- Die Verteidigungsstrategie sollte darauf ausgelegt sein, seitliche Bewegungen und Datenexfiltration ins Internet zu erkennen. Dabei sollte besonders auf den ausgehenden Datenverkehr geachtet werden, um die Verbindungen von Cyberkriminellen zu erkennen.
- Daten regelmäßig sichern und sicherstellen, dass man im Notfall schnell darauf zugreifen kann.
- Lösungen wie Kaspersky Managed Detection and Response nutzen, die Angriffe in der Frühphase erkennen und stoppen können, bevor Angreifer ihr endgültiges Ziel erreichen.
- Mitarbeiter in Cybersicherheit mithilfe spezieller Schulungskurse wie Kaspersky Automated Security Awareness Plattform schulen.
- Eine zuverlässige Endpoint-Sicherheitslösung wie Kaspersky Endpoint Security for Business nutzen, die auf Exploit-Prävention und Verhaltenserkennung bietet und so schädliche Aktionen rückgängig machen kann.
- Das Team sollte Zugang zu aktuellen Bedrohungsinformationen haben, um sich über TTPs zu informieren, die von Bedrohungsakteuren verwendet werden. Das Kaspersky Threat Intelligence Portal ist ein zentraler Zugangspunkt für die Threat Intelligence von Kaspersky und bietet Cyberangriffsdaten und Erkenntnisse zu Cyberbedrohungen. Um Unternehmen zu unterstützen, stellt Kaspersky den kostenfreien Zugang zu unabhängigen, ständig aktualisierten und weltweit bezogenen Informationen zur Verfügung.
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/