Zum Hauptinhalt springen

Bereits im November 2019 stießen Kaspersky-Experten auf eine neuartige Malware, die insbesondere diplomatische Einrichtungen in Europa im Visier hat. Die Erstinfektion ging dabei von einem fingierten Visa-Antrag aus. Neue Analysen von Kaspersky [1] zeigen, dass die Spionage-Software auf demselben Code wie die berüchtigte COMPFun-Malware basiert.

Spionage-Software ist darauf ausgelegt, Daten von Opfergeräten einzusammeln und an den Bedrohungsakteur zu übertragen. Spyware ist häufig Bestandteil von APTs (Advanced Persistent Threats) . Handelt es sich bei den Opfern um regierungsnahe Einrichtungen oder kritische Infrastrukturen, dann haben die gesammelten Informationen für die Cyberkriminellen einen enormen Wert.

Der Code der gefundenen Spionage-Malware weist starke Ähnlichkeit mit dem erstmals 2014 entdeckten Schadprogramm COMPFun auf. 2019 identifizierte die Sicherheitsbranche das Nachfolger-Programm Reductor [2]. Zu den Funktionen des neuen Trojaners gehören die Ermittlung der Geodaten der Opfer, die Sammlung von Host- und Netzwerkdaten, Keyloggings und die Weitergabe von Screenshots.

Laut Kaspersky-Experten handelt es sich um einen voll funktionsfähigen Trojaner, der auch auf Wechseldatenträger übergehen kann. Sein Trägerprogramm zur erstmaligen Ausführung, das von einem gemeinsam genutzten LAN heruntergeladen wird, beinhaltet einen an das Visumantragswesen der angegriffenen diplomatischen Einrichtung angepassten Dateinamen. Die legitime Anwendung ist im Dropper verschlüsselt – zusammen mit der 32- und 64-Bit-Malware für den nächsten Schritt der Infektion.

Aufgrund des Opfertypus gehen die Kaspersky-Experten mit mittlerer bis niedriger Wahrscheinlichkeit davon aus, dass die ursprüngliche COMPFun-Malware in Verbindung mit dem APT-Akteur Turla [3] steht.

„Die Betreiber der Malware legen ihren Fokus auf diplomatische Einrichtungen und wählen als initialen Angriffsvektor bevorzugt Visum-bezogene Anwendungen, die in einem Dateiordner eines gemeinsam genutzten lokalen Netzwerks abgelegt werden“, erklärt Kurt Baumgartner, Principal Security Researcher bei Kaspersky. „Die Kombination aus der auf die Opfer zugeschnittenen Vorgehensweise und der Fähigkeit, Pläne nicht nur zu entwickeln, sondern auch in die Tat umzusetzen, macht die Hintermänner von COMPFun zu einem starken Bedrohungsakteur.“

So können sich Organisationen vor Malware wie COMPfun schützen

Die Kaspersky-Experten empfehlen folgende Maßnahmen:

  • Die IT-Infrastruktur der Organisation regelmäßig Sicherheits-Audits unterziehen.
  • Verwendung bewährter Endpoint-Sicherheitslösungen mit File Threat Protection, wie Kaspersky Endpoint Security for Business [4]. Sie müssen stets auf dem aktuellen Stand gehalten werden, um die neuesten Malware-Typen erkennen zu können.
  • EDR-Lösungen wie Kaspersky Endpoint Detection and Response [5] erlauben auf Endpoint-Ebene die Erkennung von Vorfällen inklusive Reaktion und rascher Wiederherstellung.
  • Zusätzlich zum Schutz der Endpunkte sollte die Organisation über eine Sicherheitslösung verfügen, die fortschrittliche Gefahren auf Netzwerk-Ebene bereits in frühen Stadien erkennen kann – wie etwa Kaspersky Anti Targeted Attack Platform [6].
  • Das SOC-Team (Security Operation Center) benötigt Zugriff auf aktuelle Threat Intelligence [7], um über Tools, Techniken und Taktiken, die von Bedrohungsakteuren und Cyberkriminellen aktuell eingesetzt werden, informiert zu bleiben.


Weiterführende Informationen unter: https://securelist.com/compfun-http-status-based-trojan/96874/

[1] https://securelist.com/compfun-http-status-based-trojan/96874/

[2] https://securelist.com/compfun-successor-reductor/93633/

[3] https://securelist.com/all/?tag=718

[4] https://www.kaspersky.de/small-to-medium-business-security/endpoint-advanced

[5] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

[6] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform

[7] https://www.kaspersky.de/enterprise-security/threat-intelligence

Nützliche Links:

Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 270.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter http://www.kaspersky.com/de/

Spionage bei diplomatischen Einrichtungen in Europa: Neuer Trojaner nutzt Fake-Visa-Anträge

• Kaspersky-Experten sehen große Ähnlichkeiten mit dem Schadprogramm COMPFun • Eigenständige Übertragung auf Wechseldatenträger möglich
Kaspersky Logo