Hacker-Gruppe LuckyMouse signiert Malware mit legitimem Zertifikat
Kaspersky Lab warnt vor Cyberspionage-Einsatz des Trojaners
Die Experten von Kaspersky Lab (GReAT) haben mehrere Infektionen eines bisher unbekannten Trojaners [1] entdeckt, der höchstwahrscheinlich vom chinesischsprachigen Bedrohungsakteur ,LuckyMouse‘ stammt. Die Malware ist mit einem außergewöhnlichen Treiber ausgestattet, der mit einem legitimen digitalen Zertifikat eines Herstellers für Security-Software signiert ist.
Die Gruppe LuckyMouse ist bekannt für zielgerichtete Cyberangriffe auf große Unternehmen weltweit. Die Aktivitäten der Gruppe stellen eine Gefahr für ganze Regionen dar, da ihre Angriffe eine politische Agenda zu haben scheinen. Erst im vergangenen Juni hatte die Gruppe ein Datenzentrum in Zentralasien im Visier [2]. Kaspersky Lab vermutet aus der Analyse der Opferprofile und der bisherigen Angriffsvektoren der Gruppe, dass der entdeckte Trojaner möglicherweise für staatlich unterstützte Cyberspionage eingesetzt wurde.
Kaspersky-Report zeigt Vorgehen von LuckyMouse
Der von Kaspersky Lab entdeckte Trojaner infizierte einen anvisierten Computer mit einem Treiber, der von den Bedrohungsakteuren selbst erstellt wurde. Damit konnten die Angreifer übliche Aufgaben wie Befehlsausführung, Down- und Upload von Dateien ausführen sowie den Netzwerkverkehr abfangen.
Der Treiber wurde offenbar mit einem gestohlenen digitalen Zertifikat versehen, das ursprünglich von einem Softwarehersteller für Informationssicherheit stammt, um ihn als vertrauenswürdig einstufen zu lassen. Damit sollte verhindert werden, dass die Malware-Samples von Sicherheitslösungen entdeckt werden – eine legitime Signatur lässt die Malware als legale Software erscheinen.
Obwohl der Akteur LuckyMouse in der Lage ist, selbst eigene schädliche Software zu erstellen, wurde für die verwendete Software scheinbar eine Kombination aus öffentlich zugänglichem Code aus öffentlichen Quellen und eigener Malware verwendet. Der Einsatz von gebrauchsfertigen Codes von Drittanbietern, anstatt eigenen Code zu schreiben, spart den Entwicklern Zeit und erschwert zudem die Zuschreibung (Attribuierung).
„LuckyMouse-Kampagnen erscheinen fast immer im Vorlauf eines hochkarätigen politischen Ereignisses und der Zeitpunkt eines Angriffs geht normalerweise einer Veranstaltung mit hochrangigen Politikern voraus“, so Denis Legezo, Sicherheitsforscher bei Kaspersky Lab.
Sicherheitsempfehlungen von Kaspersky Lab
- Trotz digitalem Zertifikat können Backdoor-Programme in der Software enthalten sein; dem Code auf dem System sollte nicht automatisch vertraut werden.
- Eine robuste Sicherheitslösung mit Verhaltenserkennungstechnologie erkennt selbst unbekannte Bedrohungen.
- Threat-Intelligence-Services wie Kaspersky Threat Intelligence [3] gewähren frühen Zugang zu Informationen über die neuesten Entwicklungen in puncto Taktiken, Techniken und Vorgehensweisen von komplexen Bedrohungsakteuren.
Mehr Informationen zur Gruppe LuckyMouse und deren Vorgehensweise unter https://securelist.com/luckymouse-ndisproxy-driver/87914/
[1]https://securelist.com/luckymouse-ndisproxy-driver/87914/
[2]https://securelist.com/luckymouse-hits-national-data-center/86083/
[3]https://www.kaspersky.de/enterprise-security/threat-intelligence
Nützliche Links:
- Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
- Aktuelle Kaspersky-Analyse zu LuckyMouse: https://securelist.com/luckymouse-ndisproxy-driver/87914
- Kaspersky-Analyse “LuckyMouse hits national data center to organize country-level waterholing campaign”: https://securelist.com/luckymouse-hits-national-data-center/86083/
- Global Research and Analysis Team von Kaspersky Lab (GReAT): https://great.kaspersky.com/
Über Kaspersky Lab
Kaspersky Lab ist ein global agierendes Cybersicherheitsunternehmen, das seit über 20 Jahren auf dem Markt tätig ist. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky Lab ist Basis für Next Generation Sicherheitslösungen und -Services zum Schutz von Unternehmen, kritischen Infrastrukturen, staatlichen Einrichtungen sowie Privatanwendern weltweit. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung vor komplexen und aufkommenden Cyberbedrohungen. Mehr als 400 Millionen Nutzer und 270.000 Unternehmenskunden werden von den Technologien von Kaspersky Lab geschützt.
Weitere Informationen zu Kaspersky Lab finden Sie unter http://www.kaspersky.com/de/. Kurzinformationen erhalten Sie zudem über www.twitter.com/Kaspersky_DACH und www.facebook.com/Kaspersky.Lab.DACH. Aktuelles zu Viren, Spyware, Spam sowie Informationen zu weiteren IT-Sicherheitsproblemen und -Trends sind unter https://de.securelist.com/ und auf dem Kaspersky-Blog auf http://blog.kaspersky.de/ abrufbar.
Redaktionskontakt:
Berkeley Kommunikation
Florian Schafroth
florian.schafroth@berkeleypr.com
Tel.: +49-89-7472-62-43
Fax: +49-89-7472-62-17
Landwehrstraße 61
80336 München
GmbH Kaspersky Labs GmbH
Anne Mickler
anne.mickler@kaspersky.com
Tel.: +49-841-98-189-322
Fax: +49-841-98-189-100
Despag-Straße 3
85055 Ingolstadt
Hacker-Gruppe LuckyMouse signiert Malware mit legitimem Zertifikat
Kaspersky
Verwandter Artikel Pressemitteilungen
Kaspersky Thin Client 2.0: Cyber-Immun-Schutz mit verbesserter Konnektivität und Leistung
BOLL Engineering testete Kaspersky Thin Client 2.0 in der Pilotphase und führt Produkt in Deutschland, Österreich und der Schweiz einMehr anzeigen >Kaspersky Extended Detection and Response jetzt für Unternehmen verfügbar
Fortschrittliche XDR-Lösung für umfassende Bedrohungserkennung und -reaktionMehr anzeigen >Kaspersky Next: Neue Produktreihe für Unternehmen
Robuster Endpunktschutz mit KI-Funktionen kombiniert mit EDR (Endpoint Detection and Response) und XDR (Extended Detection and Response)Mehr anzeigen >