Möglicher Nachfolger von Sunburst: Tomiris-Backdoor

Kaspersky_news
Anzeige

Beitrag teilen

Tomiris-Backdoor: Möglicherweise neue Aktivitäten des Bedrohungsakteurs hinter Sunburst-Attacke. Bei der Untersuchung einer noch unbekannten Advanced Persistence Threat (APT) identifizierten Kaspersky-Forscher eine neue Malware, die mehrere wichtige Attribute aufweist, die potenziell auf eine Verbindung zum Bedrohungsakteur DarkHalo hinweist, der für den Sunburst-Angriff verantwortlich ist. Dabei handelt es sich um einen der auswirkungsreichsten Supply-Chain-Attacken der vergangenen Jahre.

Der Sunburst-Sicherheitsvorfall geriet im Dezember 2020 in die Schlagzeilen: Der Bedrohungsakteur DarkHalo kompromittierte einen bekannten Anbieter von Unternehmenssoftware und nutzte dessen Infrastruktur, um unter dem Deckmantel legitimer Software-Updates Spyware zu verbreiten. Danach schien der Akteur verschwunden zu sein. Denn nach Sunburst wurden keine größeren Vorfälle mehr entdeckt, die diesem Akteur zugeschrieben werden konnten. Die Ergebnisse der jüngsten Untersuchungen des Global Research and Analysis Teams (GReAT) bei Kaspersky zeigen jedoch, dass dies nicht der Fall ist.

Anzeige

DNS-Hijacking-Angriff gegen Regierungsorganisationen

Im Juni 2021 – mehr als sechs Monate nach dem Abtauchen von DarkHalo – identifizierten Kaspersky-Forscher Spuren eines erfolgreichen DNS-Hijacking-Angriffs gegen mehrere Regierungsorganisationen im selben Land. Bei DNS-Hijacking handelt es sich um einen Angriff, bei dem ein Domänenname – der zum Einsatz kommt, um die URL-Adresse einer Webseite mit der IP-Adresse des Servers zu verbinden, auf dem die diese gehostet ist – so verändert wird, dass der Netzwerkverkehr auf einen vom Angreifer kontrollierten Server umgeleitet wird. In dem von Kaspersky entdeckten Fall versuchten die Zielpersonen der Cyberattacke, auf die Web-Schnittstelle eines E-Mail-Dienstes des Unternehmens zuzugreifen, wurden aber auf eine gefälschte Kopie dieser umgeleitet und luden infolgedessen ein schädliches Software-Update herunter. Die Kaspersky-Forscher folgten dem Weg der Angreifer und fanden heraus, dass dieses „Update“ die bisher unbekannte Backdoor ,Tomiris‘ enthielt.

Backdoor holt weitere Malware-Verstärkung

Die weitere Analyse ergab, dass der Hauptzweck der Backdoor darin bestand, im angegriffenen System Fuß zu fassen und weitere schädliche Komponenten herunterzuladen, die jedoch bei der Untersuchung nicht identifiziert werden konnten. Allerdings zeigt die Tomiris-Backdoor große Ähnlichkeit mit Sunshutttle – der Malware, die beim Sunburst-Angriff zum Einsatz kam:

Anzeige

  • Genau wie Sunshuttle wurde Tomiris in der Programmiersprache Go entwickelt.
  • Beide Backdoors nutzen ein einziges Verschlüsselungs-/Verschleierungsschema, um sowohl Konfigurationen als auch Netzwerkverkehr zu kodieren.
  • Beide stützen sich auf geplante Aufgaben, um ihre Aktivitäten zu verbergen, und verwenden Zufälligkeiten und Sleep Delays.
  • Der Workflow beider Programme, insbesondere die Art und Weise, wie die Features in Funktionen aufgeteilt sind, ähnelt sich so sehr, dass die Kaspersky-Analysten vermuten, dass dies auf gemeinsame Entwicklungspraktiken hindeuten könnte.
  • Sowohl in Tomiris („isRunned“) als auch in Sunshuttle („EXECED“ statt „executed“) wurden Fehler im Englischen gefunden. Dies deutet darauf hin, dass beide Schadprogramme von Personen erstellt wurden, deren Muttersprache nicht Englisch ist. Es ist allgemein bekannt, dass der DarkHalo-Akteur russisch spricht.
  • Die Tomiris-Backdoor wurde in Netzwerken entdeckt, in denen weitere Rechner mit Kazuar infiziert waren – eben jene Backdoor, die für ihre Code-Überschneidungen [2] mit der Sunburst-Backdoor bekannt ist.

„Keiner dieser Punkte reicht für sich allein genommen aus, um Tomiris und Sunshuttle mit ausreichender Sicherheit in Verbindung zu bringen“, kommentiert Pierre Delcher, Sicherheitsforscher bei Kaspersky. „Wir geben zu, dass einige dieser Ähnlichkeiten zufällig sein könnten, sind aber dennoch der Meinung, dass sie in Summe zumindest die Möglichkeit einer gemeinsamen Urheberschaft oder gemeinsamer Entwicklungspraktiken ergeben.“

Auffällige Ähnlichkeiten der beiden Backdoors

„Wenn unsere Vermutung, dass eine Verbindung zwischen Tomiris und Sunshuttle besteht, korrekt ist, würde dies ein neues Licht auf die Art und Weise werfen, wie Bedrohungsakteure ihre Kapazitäten neu aufstellen, nachdem sie entdeckt wurden“, ergänzt Ivan Kwiatkowski, Sicherheitsforscher bei Kaspersky. „Wir möchten die Threat-Intelligence-Community dazu ermutigen, diese Untersuchung zu reproduzieren und ihre Meinung zu den Ähnlichkeiten zwischen Sunshuttle und Tomiris zu teilen, die wir entdeckt haben.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

SolarWinds-Hack: Kaspersky findet Code-Ähnlichkeiten

SolarWinds-Hack: Die Experten von Kaspersky finden Code-Ähnlichkeiten zwischen Sunburst-Malware und Kazuar-Backdoor. Die Experten von Kaspersky haben spezifische Code-Ähnlichkeiten zwischen Sunburst ➡ Weiterlesen

Schulungsprogramm: Reaktionsfähigkeit auf Cyberangriffe

Kaspersky führt Online-Schulungsprogramm zur Verbesserung der Reaktionsfähigkeit auf Cyberangriffe ein. Der Windows Incident Response-Kurs umfasst auch Ransomware. Um firmeninternen Cybersecurity-Teams ➡ Weiterlesen

Kaspersky vs. BSI: Bundesverfassungsgericht urteilt

Die Klage von Kaspersky gegen das BSI und seine Warnung gegenüber Kaspersky-Produkten und Services geht wohl bald in eine neue ➡ Weiterlesen

Webinar 15. Juni 2022: Transparenz für mehr Cybersicherheit

Kaspersky veranstaltet ein kostenloses Webinar am Mittwoch, den 15. Juni 2022, ab 11:00 Uhr zum Thema "Transparenz, Zuverlässigkeit und Qualität ➡ Weiterlesen

Kaspersky APT Trends Report Q1/2022

Schwer beschäftigt waren die Cyberkriminellen im ersten Quartal 2022. Dies zeigt der neue APT Trends Report von Kaspersky. Unter den gefundenen ➡ Weiterlesen

Kaspersky erhält erneut erfolgreich SOC 2-Zertifizierung

Kaspersky verpflichtet sich weiterhin den höchsten Sicherheitsprinzipien und hat erneut das Service Organization Control for Service Organizations (SOC 2) Type ➡ Weiterlesen

Webinar 03. Juni 2022: Kaspersky Threat Intelligence nutzen

Die Threat-Experten von Kaspersky laden am 03. Juni 2022 zum kostenlosen Webinar ein. Thema: Kaspersky Threat Intelligence nutzen. Hintergrund ist, ➡ Weiterlesen

Phishing: Zwei Millionen Angriffe über HTML-Dateien

Kaspersky-Experten warnen vor der wachsenden Bedrohung durch Phishing-E-Mails mit HTML-Dateien [1]. Von Januar bis April 2022 blockierte Kaspersky fast zwei ➡ Weiterlesen