Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Cyberspionage-Gruppe „Chafer“ hat Botschaften im Visier

Kaspersky Lab hat mehrere Kompromittierungsversuche gegen ausländische diplomatische Einrichtungen im Iran mittels einer selbstentwickelten Spyware identifiziert. Bei den Angriffen kamen wohl eine aktualisierte Version des Remexi-Backdoor-Programms sowie verschiedene legitime Tools zum Einsatz. Hinter der Remexi-Backdoor wird eine verdächtige Farsi sprechende Cyberspionagegruppe namens Chafer vermutet, die zuvor mit digitalen Observationen von Einzelpersonen im Nahen Osten in Verbindung gebracht wurde. Der Fokus auf Botschaften könnte eine Neuorientierung der Gruppe sein.

Die Operation zeigt, wie Bedrohungsakteure in Entwicklungsregionen Cyberangriffskampagnen mittels relativ einfacher Malware in Kombination mit öffentlich verfügbaren Tools umsetzen. Die nun eingesetzte Version der Remexi-Backdoor erlaubt eine Remote-Verwaltung des kompromittierten Opfer-Computers.

Die Malware Remexi wurde erstmals im Jahr 2015 entdeckt und von der Cyberspionagegruppe Chafer für eine digitale Überwachungsoperation eingesetzt, die es auf Einzelpersonen und Organisationen im Nahen Osten abgesehen hatte. Die in der aktuellen Kampagne verwendete Backdoor weist Ähnlichkeiten im Code mit bekannten Samples der Remexi-Malware auf. Dass zudem dieselben Ziele anvisiert werden, lässt die Kaspersky-Experten vermuten, dass die Cyberspionage-Gruppe Chafer hinter der Kampagne steckt.

Die nun entdeckte Remexi-Version kann Befehle aus der Ferne auszuführen und Screenshots, Browserdaten, einschließlich Nutzeranmeldedaten, Logins und Verlauf sowie eingegebenen Text erfassen. Die gestohlenen Daten werden mithilfe der legitimen BITS-Anwendung (Background Intelligent Transfer Service) von Microsoft, einer Windows-Komponente, die Windows-Hintergrund-Updates ermöglichen soll, herausgefiltert. Der Trend, Malware mit legitimem Code zu kombinieren, hilft Angreifern dabei, Zeit und Ressourcen bei der Erstellung von Malware zu sparen und die Attribution komplizierter zu machen.

Kaspersky-Empfehlungen zum Schutz vor zielgerichteter Spyware

  • Einsatz geeigneter Sicherheitslösungen mit Technologien zum Schutz vor zielgerichteten Angriffen und von Threat Intelligence Services zur Analyse von Netzwerkanomalien und für mehr Einblick der Sicherheitsteams in das Netzwerk sowie automatisierte Reaktionen;
  • Cyber-Awareness-Schulungen schulen Mitarbeiter, verdächtige Nachrichten zu erkennen; E-Mails sind nach wie vor ein häufiges Einfallstor für zielgerichtete Attacken;
  • aktuelle Threat-Intelligece-Daten helfen dabei, die aktuellen Taktiken und Tools der Cyberkriminellen zu kennen und die bisher genutzten Security Controls zu erweitern.

Mehr Informationen zu Chafer und der verwendeten Remexi-Malware unter https://securelist.com/chafer-used-remexi-malware/89538/

 

Foto: © pixabay

Passende Artikel
Zeitschrift IT-SICHERHEIT
98,00 €

Preis für Jahresabonnement Inland