Möglicher Nachfolger von Sunburst: Tomiris-Backdoor

Kaspersky_news

Beitrag teilen

Tomiris-Backdoor: Möglicherweise neue Aktivitäten des Bedrohungsakteurs hinter Sunburst-Attacke. Bei der Untersuchung einer noch unbekannten Advanced Persistence Threat (APT) identifizierten Kaspersky-Forscher eine neue Malware, die mehrere wichtige Attribute aufweist, die potenziell auf eine Verbindung zum Bedrohungsakteur DarkHalo hinweist, der für den Sunburst-Angriff verantwortlich ist. Dabei handelt es sich um einen der auswirkungsreichsten Supply-Chain-Attacken der vergangenen Jahre.

Der Sunburst-Sicherheitsvorfall geriet im Dezember 2020 in die Schlagzeilen: Der Bedrohungsakteur DarkHalo kompromittierte einen bekannten Anbieter von Unternehmenssoftware und nutzte dessen Infrastruktur, um unter dem Deckmantel legitimer Software-Updates Spyware zu verbreiten. Danach schien der Akteur verschwunden zu sein. Denn nach Sunburst wurden keine größeren Vorfälle mehr entdeckt, die diesem Akteur zugeschrieben werden konnten. Die Ergebnisse der jüngsten Untersuchungen des Global Research and Analysis Teams (GReAT) bei Kaspersky zeigen jedoch, dass dies nicht der Fall ist.

Anzeige

DNS-Hijacking-Angriff gegen Regierungsorganisationen

Im Juni 2021 – mehr als sechs Monate nach dem Abtauchen von DarkHalo – identifizierten Kaspersky-Forscher Spuren eines erfolgreichen DNS-Hijacking-Angriffs gegen mehrere Regierungsorganisationen im selben Land. Bei DNS-Hijacking handelt es sich um einen Angriff, bei dem ein Domänenname – der zum Einsatz kommt, um die URL-Adresse einer Webseite mit der IP-Adresse des Servers zu verbinden, auf dem die diese gehostet ist – so verändert wird, dass der Netzwerkverkehr auf einen vom Angreifer kontrollierten Server umgeleitet wird. In dem von Kaspersky entdeckten Fall versuchten die Zielpersonen der Cyberattacke, auf die Web-Schnittstelle eines E-Mail-Dienstes des Unternehmens zuzugreifen, wurden aber auf eine gefälschte Kopie dieser umgeleitet und luden infolgedessen ein schädliches Software-Update herunter. Die Kaspersky-Forscher folgten dem Weg der Angreifer und fanden heraus, dass dieses „Update“ die bisher unbekannte Backdoor ,Tomiris‘ enthielt.

Backdoor holt weitere Malware-Verstärkung

Die weitere Analyse ergab, dass der Hauptzweck der Backdoor darin bestand, im angegriffenen System Fuß zu fassen und weitere schädliche Komponenten herunterzuladen, die jedoch bei der Untersuchung nicht identifiziert werden konnten. Allerdings zeigt die Tomiris-Backdoor große Ähnlichkeit mit Sunshutttle – der Malware, die beim Sunburst-Angriff zum Einsatz kam:

  • Genau wie Sunshuttle wurde Tomiris in der Programmiersprache Go entwickelt.
  • Beide Backdoors nutzen ein einziges Verschlüsselungs-/Verschleierungsschema, um sowohl Konfigurationen als auch Netzwerkverkehr zu kodieren.
  • Beide stützen sich auf geplante Aufgaben, um ihre Aktivitäten zu verbergen, und verwenden Zufälligkeiten und Sleep Delays.
  • Der Workflow beider Programme, insbesondere die Art und Weise, wie die Features in Funktionen aufgeteilt sind, ähnelt sich so sehr, dass die Kaspersky-Analysten vermuten, dass dies auf gemeinsame Entwicklungspraktiken hindeuten könnte.
  • Sowohl in Tomiris („isRunned“) als auch in Sunshuttle („EXECED“ statt „executed“) wurden Fehler im Englischen gefunden. Dies deutet darauf hin, dass beide Schadprogramme von Personen erstellt wurden, deren Muttersprache nicht Englisch ist. Es ist allgemein bekannt, dass der DarkHalo-Akteur russisch spricht.
  • Die Tomiris-Backdoor wurde in Netzwerken entdeckt, in denen weitere Rechner mit Kazuar infiziert waren – eben jene Backdoor, die für ihre Code-Überschneidungen [2] mit der Sunburst-Backdoor bekannt ist.

„Keiner dieser Punkte reicht für sich allein genommen aus, um Tomiris und Sunshuttle mit ausreichender Sicherheit in Verbindung zu bringen“, kommentiert Pierre Delcher, Sicherheitsforscher bei Kaspersky. „Wir geben zu, dass einige dieser Ähnlichkeiten zufällig sein könnten, sind aber dennoch der Meinung, dass sie in Summe zumindest die Möglichkeit einer gemeinsamen Urheberschaft oder gemeinsamer Entwicklungspraktiken ergeben.“

Auffällige Ähnlichkeiten der beiden Backdoors

„Wenn unsere Vermutung, dass eine Verbindung zwischen Tomiris und Sunshuttle besteht, korrekt ist, würde dies ein neues Licht auf die Art und Weise werfen, wie Bedrohungsakteure ihre Kapazitäten neu aufstellen, nachdem sie entdeckt wurden“, ergänzt Ivan Kwiatkowski, Sicherheitsforscher bei Kaspersky. „Wir möchten die Threat-Intelligence-Community dazu ermutigen, diese Untersuchung zu reproduzieren und ihre Meinung zu den Ähnlichkeiten zwischen Sunshuttle und Tomiris zu teilen, die wir entdeckt haben.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Lexmark-Geräte mit fünf gefährlichen Schwachstellen

Anbieter Lexmark meldet eine kritische und vier hochgefährliche Schwachstellen für seine Geräte. Bei allen lässt sich Remote-Code ausführen, bei der ➡ Weiterlesen

Cyberspionage: Europäische Behörden im Visier – auch Deutschland

Security-Experten haben eine Cyberspionage gegen europäische Behörden entdeckt. Hinter den Angriffen stecken möglicherweise russische Gruppen die auch Behörden in Deutschland ➡ Weiterlesen

SonicWall Firewall-Appliance mit kritischer Schwachstelle

SonicWall informiert über eine kritische 9.8 Schwachstelle in der Appliance vom Typ SMA1000. SonicWall stellt ein entsprechendes Update bereit, welches ➡ Weiterlesen

Angriffe 2024: Anmeldedaten waren häufigstes Ziel

Ein Report hat Cyberattacken in 2024 analysiert und dabei festgestellt: Die meisten Angreifer brechen nicht ein, sondern loggen sich mit ➡ Weiterlesen

Microsoft Teams: E-Mail-Bombing und Voice Phishing

Cyberkriminelle missbrauchen Microsoft Teams als Einfallstor für ihre Angriffe. Sie versuchen dann Daten abzuziehen oder Ransomware zu platzieren. Mit im ➡ Weiterlesen

Sicherheitszertifizierung FIPS 140-3 Level 3

Ein Spezialist für hardwareverschlüsselte USB-Laufwerke und die zentrale USB-Laufwerksverwaltung SafeConsole, ist mit mehreren Speichergeräten auf der FIPS 140-3 Modules-In-Process-Liste der ➡ Weiterlesen

Die Hacker-Gruppe FunkSec

Ein Pionier bei Cyber-Sicherheitslösungen wirft einen Blick auf die Ransomware-Gruppe FunkSec aus Algerien. Sie war im Dezember 2024 die aktivste ➡ Weiterlesen

Oracle veröffentlicht im Januar 318 Sicherheitsupdates

Die Liste der 318 Sicherheitsupdates zeigt zwar nicht sofort die Risikobewertungen mit CVSS-Werten, aber ein Blick in die Beschreibungen zeigt ➡ Weiterlesen