[Brisant] Isolierte Systeme in Gefahr: Malware stiehlt Daten von Rechnern ohne Internet

ziesell · 03.08.23, 09:28

Zitat:

Isolierte Systeme in Gefahr: Malware stiehlt Daten von Rechnern ohne Internet

Damit Cyberkriminelle mit einer Malware Daten stehlen können, ist meist eine Internetverbindung erforderlich. Es geht auch anders.

Sicherheitsforscher von Kaspersky haben eine neue Malware entdeckt, mit der Cyberkriminelle im Rahmen eines mehrstufigen Angriffsprozesses Daten von isolierten Systemen exfiltrieren. Die Schadsoftware zielt demnach vornehmlich darauf ab, Wechseldatenträger mit einem Wurm zu infizieren, der sich in physisch vom Internet getrennten IT-Systemen einnistet, sobald das kompromittierte Speichergerät damit verbunden wird. Den Forschern zufolge steckt hinter der Malware mit hoher Wahrscheinlichkeit eine Hackergruppe mit der Bezeichnung APT31, ebenfalls bekannt als Judgment Panda oder Zirconium.

Ein mehrstufiger Angriffsprozess zielt auf isolierte Systeme

Die Malware besteht den Kaspersky-Forschern zufolge aus mindestens drei Modulen, die jeweils unterschiedliche Aufgaben übernehmen. Demzufolge sei das erste Modul primär für das Handling der Wechsellaufwerke zuständig. Dazu gehöre beispielsweise die Erfassung von Laufwerksinformationen sowie die Erstellung von Screenshots. Die Malware-Module werden in Form ausführbarer Dateien sowie DLL-Nutzlasten auf neu angeschlossene Laufwerke kopiert und als versteckt oder gelöscht markiert.

Eine Link-Datei löst schließlich die Infektionskette auf dem Zielsystem aus, sobald ein Benutzer diese anklickt. Das zweite Modul führt daraufhin ein Batch-Skript aus, um sensible Daten zu sammeln und diese auf dem Wechseldatenträger im Ordner "$RECYCLE.BIN" zu speichern, wo ein weiteres Modul diese später auf einem Rechner mit verfügbarer Internetverbindung wieder abruft und an einen von den Angreifern kontrollierten Server übermittelt.

Hier waren Profis am Werk

Verschlüsselte und in separaten Binärdateien versteckte Nutzlasten sollen den Sicherheitsforschern die Erkennung und Analyse der Schadsoftware erschwert haben. Darüber hinaus habe die Malware teilweise auch bösartigen Code in den Speicher von legitimen Anwendungen eingeschleust, etwa durch DLL-Hijacking sowie eine Kette von Speicherinjektionen.

"Obwohl die Exfiltration von Daten aus abgehörten Netzwerken eine immer wiederkehrende Strategie ist, die von vielen APTs und gezielten Cyberspionage-Kampagnen angewandt wird, wurde sie dieses Mal von dem Akteur auf einzigartige Weise entwickelt und umgesetzt", warnt Kirill Kruglov, Senior Security Researcher bei Kaspersky.

Empfehlungen für Administratoren

Für Administratoren sprechen die Kaspersky-Forscher einige Handlungsempfehlungen aus, um Angriffen dieser Art vorzubeugen. Dazu gehöre mitunter der Einsatz geeigneter Sicherheitssoftware, die sich von unprivilegierten Nutzern nicht einfach deaktivieren lasse. Darüber hinaus sei es auch sinnvoll, die Verwendung von Administratorkonten, unbekannten Anwendungen und Wechsellaufwerken einzuschränken und erlaubte Datenträger regelmäßig zu überprüfen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

g0tttt · 03.08.23, 14:13

Zitat:

Eine Link-Datei löst schließlich die Infektionskette auf dem Zielsystem aus, sobald ein Benutzer diese anklickt

Äh ja. Schon klar, dass man kein Internet braucht, wenn man Viren startet oder irgendwelche Dateien ausführt?

Ganz interessant die News aber auch bissl Klickbait oder? Wie ja alles mittlerweile.

Das ist natürlich ein interessantes Feld, weil jemand der viel Bitcoin hat sich die Adressen oftmals offline generieren würde. Und dann nur online geht um sie zu signieren, unter Umständen mit einem anderen System. Und der private Key würde niemals online sein. Wenn Screenshots gemacht werden, könnte man theoretisch schon hackbar sein. Aber wie soll auf einem sauberen System sowas passieren, selbst mit unsauberen USB Sticks?

Also die Schlagzeile ist prinzipiell falsch, oder zumindest ungenau. Es braucht immernoch den "Klick" des Nutzers.