WinDealer-Malware verbreitet sich über Man-on-the-Side-Angriffe

Beitrag teilen

Kaspersky-Forscher haben entdeckt, dass die Malware WinDealer vom chinesischsprachigen APT-Akteur LuoYu über Man-on-the-Side-Angriffe verbreitet wird [1]. Diese Verbreitungsmechanik ermöglicht es dem Bedrohungsakteur, Netzwerkverkehr während der Übertragung so zu verändern, dass schädliche Payloads eingespeist werden können. Solche Angriffe sind besonders effektiv, da sie keine menschliche oder sonstige Interaktion mit dem Ziel für eine erfolgreiche Infektion erfordern.

Folgend den Erkenntnissen von TeamT5 [2] entdeckten die Kaspersky-Forscher eine neue Methode, die von den Akteuren zur Verbreitung der WinDealer-Malware eingesetzt wird. Sie nutzen einen Man-on-the-Side-Angriff, um den Datenverkehr mitzulesen und neue Nachrichten einzufügen. Das Konzept eines Man-on-the-Side-Angriffs besteht darin, dass der Angreifer, wenn er eine Anfrage nach einer bestimmten Ressource im Netz sieht (sei es durch seine Abhörfähigkeiten oder die eigene strategische Position im Netz des Internetanbieters), versucht, dem Ziel schneller zu antworten als der legitime Server. Ist dies der Fall, verwendet der Zielcomputer die vom Angreifer bereitgestellten Informationen anstelle der regulären Daten. Selbst wenn sie die meisten dieser „Wettläufe“ verlieren, können die Angreifer immer weitere Versuche starten, bis sie das Gerät infizieren.

Spyware sammelt viele Informationen

Nach einer erfolgreichen Attacke landet eine Spyware auf dem Zielgerät, die eine Vielzahl von Informationen sammeln kann. Dadurch können Angreifer alle auf dem Gerät gespeicherten Dateien einsehen und herunterladen sowie eine Stichwortsuche in allen Dokumenten durchführen. Im Allgemeinen hat LuoYu ausländische diplomatische Organisationen mit Sitz in China, akademische Einrichtungen sowie Verteidigungs-, Logistik- und Telekommunikationsunternehmen im Visier. Der Akteur verwendet WinDealer, um Windows-basierte Rechner anzugreifen.

Typischerweise enthält Malware einen oder mehrere fest kodierte Command-and-Control-Server, von denen aus Angreifer das System kontrollieren. Mit den entsprechenden Informationen über diese Server ist es möglich, die IP-Adressen dieser Server zu blockieren, mit denen die Malware interagiert, und so die Bedrohung zu neutralisieren. WinDealer verlässt sich jedoch auf einen komplexen Algorithmus zur Generierung von IP-Adressen zur Bestimmung, welcher Rechner kontaktiert werden soll.

Windealer generiert Kontakt-IP-Adressen

Dieser umfasst einen Bereich von 48.000 möglichen IP-Adressen, so dass es für den Betreiber fast unmöglich ist, auch nur einen kleinen Teil davon zu kontrollieren. Die einzige Möglichkeit, dieses scheinbar unmögliche Netzwerkverhalten zu erklären, besteht darin, zu vermuten, dass die Angreifer über erhebliche Abhörmöglichkeiten in diesem IP-Bereich verfügen und sogar Netzwerkpakete lesen können, die kein Ziel erreichen.

Ein solcher Man-on-the-Side-Angriff ist besonders verheerend, weil er keine Interaktion mit dem Ziel erfordert, um zu einer erfolgreichen Infektion zu führen. Es genügt eine aktive Verbindung zum Internet. Zudem können Nutzer proaktiv keine Schutzmaßnahmen ergreifen – außer den Datenverkehr über ein anderes Netzwerk zu leiten. Dies wäre mit der Nutzung eines VPNs zwar möglich, darf jedoch in gewissen Ländern nicht eingesetzt werden und ist insbesondere für chinesische Bürger in der Regel nicht verfügbar.

Auch Deutschland betroffen

Die überwiegende Mehrheit der LuoYu-Opfer befindet sich in China, so dass die Kaspersky-Experten davon ausgehen, dass sich die LuoYu-APT vor allem auf chinesischsprachige Nutzer und Organisationen mit Bezug zu China konzentriert. Sie haben jedoch auch Angriffe in anderen Ländern, darunter auch Deutschland, Österreich, die Vereinigten Staaten, die Tschechische Republik, Russland oder Indien, festgestellt.

„LuoYu ist ein äußerst raffinierter Bedrohungsakteur, der Methoden nutzt, die nur den fortgeschrittensten Angreifern zur Verfügung stehen“, kommentiert Suguru Ishimaru, Senior Security Researcher beim Global Research and Analysis Team (GReAT) von Kaspersky. „Wir können nur spekulieren, wie sie solche Fähigkeiten entwickeln konnten. Man-on-the-Side-Angriffe sind äußerst effektiv, da die einzige Voraussetzung für eine Attacke auf ein Gerät darin besteht, dass es mit dem Internet verbunden ist. Selbst wenn der Angriff beim ersten Mal fehlschlägt, können die Angreifer den Vorgang kontinuierlich wiederholen, bis sie Erfolg haben. Auf diese Weise können Cyberkriminelle äußerst gefährliche und erfolgreiche Spionageangriffe durchführen, die in der Regel Diplomaten, Wissenschaftler und Mitarbeiter anderer Schlüsselsektoren treffen. Unabhängig davon, wie der Angriff durchgeführt wurde, besteht die einzige Möglichkeit zum Schutz darin, sehr wachsam zu bleiben und robuste Sicherheitsverfahren einzusetzen. Hierzu gehören regelmäßige Antiviren-Scans, die Analyse des ausgehenden Netzwerkverkehrs und eine umfassende Protokollierung zur Erkennung von Anomalien.“

Kaspersky-Empfehlungen zum Schutz

  • Einsatz robuster Sicherheitsverfahren, die regelmäßige Antiviren-Scans, Analyse des ausgehenden Netzwerkverkehrs und eine umfassende Erhebung von Lag-Dateien zur Erkennung von Anomalien umfassen.
  • Durchführung eines Cybersecurity-Audits aller Netzwerke und Behebung sämtlicher Schwachstellen, die an oder innerhalb der Netzwerkperimeter entdeckt werden.
  • Installation von Anti-APT- und EDR-Lösungen die die Entdeckung von Bedrohungen sowie die Untersuchung und zeitnahe Behebung von Vorfällen ermöglichen. Das SOC-Team sollte stets Zugang zu den neuesten Bedrohungsdaten haben und regelmäßig durch professionelle Schulungen weitergebildet werden. All dies ist im Rahmen von Kaspersky Expert Security möglich [3].
  • Neben einem umfassenden Endpunktschutz liefern dedizierte Services weiteren Schutz vor Angriffen. Kaspersky Managed Detection and Response [4] kann helfen, Kompromittierungen im Frühstadium zu erkennen und zu stoppen, bevor die Angreifer ihre Ziele erreichen.
  • Der Threat Intelligence Resource Hub [5] von Kaspersky bietet einen kostenlosen Zugang zu unabhängigen, ständig aktualisierten und weltweit verfügbaren Informationen über aktuelle Cyberangriffe und Bedrohungen, um ein hohes Sicherheitslevel zu gewährleisten.
[1] https://securelist.com/windealer-dealing-on-the-side/105946/
[2] https://teamt5.org
[3] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[4] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
[5] https://go.kaspersky.com/uchub

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

ROC – Risk Operations Center in der Cloud

Branchenweit ist es das erste seiner Art: Das Risk Operations Center (ROC) mit Enterprise TruRisk Management (ETM). Die Qualys-Lösung ermöglicht ➡ Weiterlesen

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen