Möglicher Nachfolger von Sunburst: Tomiris-Backdoor

Kaspersky_news
Anzeige

Beitrag teilen

Tomiris-Backdoor: Möglicherweise neue Aktivitäten des Bedrohungsakteurs hinter Sunburst-Attacke. Bei der Untersuchung einer noch unbekannten Advanced Persistence Threat (APT) identifizierten Kaspersky-Forscher eine neue Malware, die mehrere wichtige Attribute aufweist, die potenziell auf eine Verbindung zum Bedrohungsakteur DarkHalo hinweist, der für den Sunburst-Angriff verantwortlich ist. Dabei handelt es sich um einen der auswirkungsreichsten Supply-Chain-Attacken der vergangenen Jahre.

Der Sunburst-Sicherheitsvorfall geriet im Dezember 2020 in die Schlagzeilen: Der Bedrohungsakteur DarkHalo kompromittierte einen bekannten Anbieter von Unternehmenssoftware und nutzte dessen Infrastruktur, um unter dem Deckmantel legitimer Software-Updates Spyware zu verbreiten. Danach schien der Akteur verschwunden zu sein. Denn nach Sunburst wurden keine größeren Vorfälle mehr entdeckt, die diesem Akteur zugeschrieben werden konnten. Die Ergebnisse der jüngsten Untersuchungen des Global Research and Analysis Teams (GReAT) bei Kaspersky zeigen jedoch, dass dies nicht der Fall ist.

Anzeige

DNS-Hijacking-Angriff gegen Regierungsorganisationen

Im Juni 2021 – mehr als sechs Monate nach dem Abtauchen von DarkHalo – identifizierten Kaspersky-Forscher Spuren eines erfolgreichen DNS-Hijacking-Angriffs gegen mehrere Regierungsorganisationen im selben Land. Bei DNS-Hijacking handelt es sich um einen Angriff, bei dem ein Domänenname – der zum Einsatz kommt, um die URL-Adresse einer Webseite mit der IP-Adresse des Servers zu verbinden, auf dem die diese gehostet ist – so verändert wird, dass der Netzwerkverkehr auf einen vom Angreifer kontrollierten Server umgeleitet wird. In dem von Kaspersky entdeckten Fall versuchten die Zielpersonen der Cyberattacke, auf die Web-Schnittstelle eines E-Mail-Dienstes des Unternehmens zuzugreifen, wurden aber auf eine gefälschte Kopie dieser umgeleitet und luden infolgedessen ein schädliches Software-Update herunter. Die Kaspersky-Forscher folgten dem Weg der Angreifer und fanden heraus, dass dieses „Update“ die bisher unbekannte Backdoor ,Tomiris‘ enthielt.

Backdoor holt weitere Malware-Verstärkung

Die weitere Analyse ergab, dass der Hauptzweck der Backdoor darin bestand, im angegriffenen System Fuß zu fassen und weitere schädliche Komponenten herunterzuladen, die jedoch bei der Untersuchung nicht identifiziert werden konnten. Allerdings zeigt die Tomiris-Backdoor große Ähnlichkeit mit Sunshutttle – der Malware, die beim Sunburst-Angriff zum Einsatz kam:

Anzeige

  • Genau wie Sunshuttle wurde Tomiris in der Programmiersprache Go entwickelt.
  • Beide Backdoors nutzen ein einziges Verschlüsselungs-/Verschleierungsschema, um sowohl Konfigurationen als auch Netzwerkverkehr zu kodieren.
  • Beide stützen sich auf geplante Aufgaben, um ihre Aktivitäten zu verbergen, und verwenden Zufälligkeiten und Sleep Delays.
  • Der Workflow beider Programme, insbesondere die Art und Weise, wie die Features in Funktionen aufgeteilt sind, ähnelt sich so sehr, dass die Kaspersky-Analysten vermuten, dass dies auf gemeinsame Entwicklungspraktiken hindeuten könnte.
  • Sowohl in Tomiris („isRunned“) als auch in Sunshuttle („EXECED“ statt „executed“) wurden Fehler im Englischen gefunden. Dies deutet darauf hin, dass beide Schadprogramme von Personen erstellt wurden, deren Muttersprache nicht Englisch ist. Es ist allgemein bekannt, dass der DarkHalo-Akteur russisch spricht.
  • Die Tomiris-Backdoor wurde in Netzwerken entdeckt, in denen weitere Rechner mit Kazuar infiziert waren – eben jene Backdoor, die für ihre Code-Überschneidungen [2] mit der Sunburst-Backdoor bekannt ist.

„Keiner dieser Punkte reicht für sich allein genommen aus, um Tomiris und Sunshuttle mit ausreichender Sicherheit in Verbindung zu bringen“, kommentiert Pierre Delcher, Sicherheitsforscher bei Kaspersky. „Wir geben zu, dass einige dieser Ähnlichkeiten zufällig sein könnten, sind aber dennoch der Meinung, dass sie in Summe zumindest die Möglichkeit einer gemeinsamen Urheberschaft oder gemeinsamer Entwicklungspraktiken ergeben.“

Auffällige Ähnlichkeiten der beiden Backdoors

„Wenn unsere Vermutung, dass eine Verbindung zwischen Tomiris und Sunshuttle besteht, korrekt ist, würde dies ein neues Licht auf die Art und Weise werfen, wie Bedrohungsakteure ihre Kapazitäten neu aufstellen, nachdem sie entdeckt wurden“, ergänzt Ivan Kwiatkowski, Sicherheitsforscher bei Kaspersky. „Wir möchten die Threat-Intelligence-Community dazu ermutigen, diese Untersuchung zu reproduzieren und ihre Meinung zu den Ähnlichkeiten zwischen Sunshuttle und Tomiris zu teilen, die wir entdeckt haben.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

SolarWinds-Hack: Kaspersky findet Code-Ähnlichkeiten

SolarWinds-Hack: Die Experten von Kaspersky finden Code-Ähnlichkeiten zwischen Sunburst-Malware und Kazuar-Backdoor. Die Experten von Kaspersky haben spezifische Code-Ähnlichkeiten zwischen Sunburst ➡ Weiterlesen

Mehr Cyberbedrohungen gegen industrielle Kontrollsysteme in der Schweiz

Kaspersky-Analyse zeigt aktuelle Bedrohungslage in der DACH-Region: Cyberbedrohungen gegen industrielle Kontrollsysteme: weniger Angriffe in Deutschland, jedoch mehr in der Schweiz. ➡ Weiterlesen

Derzeit täglich etwa 5.500 Emotet-Angriffe

Aktuelle Kaspersky-Zahlen zeigen, dass derzeit täglich etwa 5.500 Emotet-Angriffe erfolgen. Denis Parinov und Oleg Kupreev, Sicherheitsexperten bei Kaspersky, kommentieren die neuen ➡ Weiterlesen

Studie: kein Budget übrig für externe Sicherheitsexperten

Laut einer Kaspersky-Umfrage haben die Hälfte der Entscheidungsträger in Deutschland keine Ressourcen für externe Sicherheitsexperten, was Unternehmen an der Zusammenarbeit ➡ Weiterlesen

Zentralisiertes Management und Transparenz in OT-Infrastrukturen

Kaspersky aktualisiert sein Produktportfolio Kaspersky Industrial CyberSecurity: Das Kaspersky Security Center bietet nun ein zentralisiertes Management-Dashboard für die Orchestrierung aller ➡ Weiterlesen

MysterySnail: neuer Zero-Day-Exploit für Windows OS

Kaspersky hat einen neuen Zero-Day-Exploit für Windows OS entdeckt: MysterySnail. Er nutzt Schwachstellen für Spionagekampagnen gegen IT-Unternehmen, Militär- und Verteidigungsorganisationen ➡ Weiterlesen