Mit Malware verseuchte Advanced IP Scanner-Version 

Kaspersky_news

Beitrag teilen

Das legitime Tools Advanced IP Scanner, das gerne von Netzwerkadministratoren verwendet wird, ist als mit einer Malware verseuchten Version aufgetaucht. Die  AdvancedIPSpyware: Backdoor-Version des Advanced IP Scanner späht Unternehmen auch in Westeuropa aus. Kaspersky Experten haben die Kampagne untersucht.

Kaspersky-Experten haben eine neue Spyware namens AdvancedIPSpyware entdeckt. Dabei handelt es sich um eine Backdoor-Version des legitimen Tools Advanced IP Scanner, das von Netzwerkadministratoren verwendet wird, um lokale Netzwerke (LANs) zu kontrollieren. Die AdvancedIPSpyware-Kampagne hat eine breite Viktimologie mit betroffenen Unternehmen in Westeuropa, Lateinamerika, Afrika, Südasien, Australien sowie den GUS-Staaten. Die Gesamtzahl der im gesamten Verlauf der Kampagne infizierten Opfer beträgt bereits etwa 80.

Mit Malware verseuchte Software Advanced IP Scanner

Cyberkriminelle fügen immer öfter schädlichen Code in legitime Software ein, um ihre schädlichen Aktivitäten zu verbergen. Seltener kommt es vor, dass die Backdoor-Binärdatei tatsächlich signiert wird, wie es bei AdvancedIPSpyware der Fall ist. Das Zertifikat, mit dem die Malware signiert wird, wurde zuvor höchstwahrscheinlich gestohlen. Die Malware wurde auf zwei Websites gehostet, deren Domains fast identisch mit der legitimen Website des Advanced IP Scanner sind und sich nur durch einen Buchstaben unterscheiden; ansonsten sehen die Seiten gleich aus. Der einzige Unterschied ist die Schaltfläche „kostenloser Download“ auf den schädlichen Websites.

AdvancedIPSpyware ist modular aufgebaut. Typischerweise ist eine solche modulare Architektur bei Malware zu finden, deren Entwickler staatlich-unterstützte Akteure sind. Allerdings waren die Angriffe in diesem Fall nicht zielgerichtet, was darauf schließen lässt, dass sich AdvancedIPSpyware nicht auf politisch motivierte Kampagnen bezieht.

Gefälschte Websites für Downloads

„E-Mail ist die häufigste Infektionsmethode, die sowohl von Cyberkriminellen als auch von Staaten verwendet wird“, kommentiert Jornt van der Wiel, Sicherheitsexperte im Global Research & Analysis Team (GReAT) bei Kaspersky. „Wir haben uns weniger gebräuchliche Techniken angesehen, die von Cyberkriminellen eingesetzt werden – beide sind bekannt und wurden bisher nicht sichtbar gemacht. Die AdvancedIPSpyware zeichnet sich nämlich durch ihre ungewöhnliche Architektur, die Verwendung eines legitimen Tools und eine fast identische Kopie der legitimen Website aus.“

Empfehlungen zum Schutz vor AdvancedIPSpyware

  • Remote-Desktop-Dienste (wie RDP) nicht in öffentlichen Netzwerken zur Verfügung stellen, es sei denn, dies ist unbedingt erforderlich.
  • Für jeden Dienst ein eigenes sicheres Passwort verwenden.
  • Umgehend verfügbare Patches für kommerzielle VPN-Lösungen installieren, die den Zugriff für Remote-Mitarbeiter ermöglichen und als Gateways im Netzwerk fungieren.
  • Software auf allen Geräten stets aktuell halten, um zu verhindern, dass Schwachstellen ausgenutzt werden.
  • Die Verteidigungsstrategie sollte darauf ausgelegt sein, seitliche Bewegungen und Datenexfiltration ins Internet zu erkennen. Dabei sollte besonders auf den ausgehenden Datenverkehr geachtet werden, um die Verbindungen von Cyberkriminellen zu erkennen.
  • Daten regelmäßig sichern und sicherstellen, dass man im Notfall schnell darauf zugreifen kann.
  • Lösungen wie Kaspersky Managed Detection and Response nutzen, die Angriffe in der Frühphase erkennen und stoppen können, bevor Angreifer ihr endgültiges Ziel erreichen.
  • Mitarbeiter in Cybersicherheit mithilfe spezieller Schulungskurse wie Kaspersky Automated Security Awareness Plattform schulen.
  • Eine zuverlässige Endpoint-Sicherheitslösung wie Kaspersky Endpoint Security for Business nutzen, die auf Exploit-Prävention und Verhaltenserkennung bietet und so schädliche Aktionen rückgängig machen kann.
  • Das Team sollte Zugang zu aktuellen Bedrohungsinformationen haben, um sich über TTPs zu informieren, die von Bedrohungsakteuren verwendet werden. Das Kaspersky Threat Intelligence Portal ist ein zentraler Zugangspunkt für die Threat Intelligence von Kaspersky und bietet Cyberangriffsdaten und Erkenntnisse zu Cyberbedrohungen. Um Unternehmen zu unterstützen, stellt Kaspersky den kostenfreien Zugang zu unabhängigen, ständig aktualisierten und weltweit bezogenen Informationen zur Verfügung.
Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Nordkorea: Cyberspionage bedroht internationale Sicherheit

In den letzten Jahren hat Nordkorea seine Fähigkeiten in der Cyberspionage enorm ausgebaut und gezielte Hackerangriffe auf internationale Unternehmen und ➡ Weiterlesen

APT-Gruppe TA397 attackiert Rüstungsunternehmen

Security-Experten haben einen neuen Angriff der APT-Gruppe TA397  – auch unter dem Namen „Bitter“ bekannt – näher analysiert. Start war ➡ Weiterlesen

Security-Breaches bei Firewall-Geräten von Palo Alto Networks

Am 18. November 2024 gab Palo Alto Networks zwei Schwachstellen (CVE-2024-0012 und CVE-2024-9474) in Palo Alto Networks OS (PAN-OS) bekannt. ➡ Weiterlesen

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen

Bedrohungserkennung mit Sigma-Regeln

Open-Source-Projekte sind unverzichtbar für die Weiterentwicklung der Softwarelandschaft. Sie ermöglichen es einer globalen Community von Entwicklern und Cybersicherheitsexperten, Wissen auszutauschen, ➡ Weiterlesen