Kaspersky-Experten haben eine neue Spyware namens AdvancedIPSpyware entdeckt [1]. Dabei handelt es sich um eine Backdoor-Version des legitimen Tools Advanced IP Scanner, das von Netzwerkadministratoren verwendet wird, um lokale Netzwerke (LANs) zu kontrollieren. Die AdvancedIPSpyware-Kampagne hat eine breite Viktimologie mit betroffenen Unternehmen in Westeuropa, Lateinamerika, Afrika, Südasien, Australien sowie den GUS-Staaten. Die Gesamtzahl der im gesamten Verlauf der Kampagne infizierten Opfer beträgt etwa 80.
Cyberkriminelle fügen immer öfter schädlichen Code in legitime Software ein, um ihre schädlichen Aktivitäten zu verbergen. Seltener kommt es vor, dass die Backdoor-Binärdatei tatsächlich signiert wird, wie es bei AdvancedIPSpyware der Fall ist. Das Zertifikat, mit dem die Malware signiert wird, wurde zuvor höchstwahrscheinlich gestohlen. Die Malware wurde auf zwei Websites gehostet, deren Domains fast identisch mit der legitimen Website des Advanced IP Scanners sind und sich nur durch einen Buchstaben unterscheiden; ansonsten sehen die Seiten gleich aus. Der einzige Unterschied ist die Schaltfläche „kostenloser Download“ auf den schädlichen Websites.
AdvancedIPSpyware ist modular aufgebaut. Typischerweise ist eine solche modulare Architektur bei Malware zu finden, deren Entwickler staatlich-unterstützte Akteure sind. Allerdings waren die Angriffe in diesem Fall nicht zielgerichtet, was darauf schließen lässt, dass sich AdvancedIPSpyware nicht auf politisch motivierte Kampagnen bezieht.
„E-Mail ist die häufigste Infektionsmethode, die sowohl von Cyberkriminellen als auch von Staaten verwendet wird“, kommentiert Jornt van der Wiel, Sicherheitsexperte im Global Research & Analysis Team (GReAT) bei Kaspersky. „Wir haben uns weniger gebräuchliche Techniken angesehen, die von Cyberkriminellen eingesetzt werden – beide sind bekannt und wurden bisher nicht sichtbar gemacht. Die AdvancedIPSpyware zeichnet sich nämlich durch ihre ungewöhnliche Architektur, die Verwendung eines legitimen Tools und eine fast identische Kopie der legitimen Website aus.“
Kaspersky-Empfehlungen zum Schutz vor AdvancedIPSpyware
- Remote-Desktop-Dienste (wie RDP) nicht in öffentlichen Netzwerken zur Verfügung stellen, es sei denn, dies ist unbedingt erforderlich.
- Für jeden Dienst ein eigenes sicheres Passwort verwenden.
- Umgehend verfügbare Patches für kommerzielle VPN-Lösungen installieren, die den Zugriff für Remote-Mitarbeiter ermöglichen und als Gateways im Netzwerk fungieren.
- Software auf allen Geräten stets aktuell halten, um zu verhindern, dass Schwachstellen ausgenutzt werden.
- Die Verteidigungsstrategie sollte darauf ausgelegt sein, seitliche Bewegungen und Datenexfiltration ins Internet zu erkennen. Dabei sollte besonders auf den ausgehenden Datenverkehr geachtet werden, um die Verbindungen von Cyberkriminellen zu erkennen.
- Daten regelmäßig sichern und sicherstellen, dass man im Notfall schnell darauf zugreifen kann.
- Lösungen wie Kaspersky Managed Detection and Response [2] nutzen, die Angriffe in der Frühphase erkennen und stoppen können, bevor Angreifer ihr endgültiges Ziel erreichen.
- Mitarbeiter in Cybersicherheit mithilfe spezieller Schulungskurse wie Kaspersky Automated Security Awareness Platform [3] schulen.
- Eine zuverlässige Endpoint-Sicherheitslösung wie Kaspersky Endpoint Security for Business [4] nutzen, die auf Exploit-Prävention und Verhaltenserkennung bietet und so schädliche Aktionen rückgängig machen kann.
Das Team sollte Zugang zu aktuellen Bedrohungsinformationen haben, um sich über TTPs zu informieren, die von Bedrohungsakteuren verwendet werden. Das Kaspersky Threat Intelligence Portal [5] ist ein zentraler Zugangspunkt für die Threat Intelligence von Kaspersky und bietet Cyberangriffsdaten und Erkenntnisse zu Cyberbedrohungen. Um Unternehmen zu unterstützen, stellt Kaspersky den kostenfreien Zugang zu unabhängigen, ständig aktualisierten und weltweit bezogenen Informationen zur Verfügung. Der Zugang kann hier angefordert werden: https://kas.pr/threat-intelligence
Weitere Informationen zu AdvancedIPSpyware sind verfügbar unter https://securelist.com/uncommon-infection-and-malware-propagation-methods/107640/
[1] https://securelist.com/uncommon-infection-and-malware-propagation-methods/107640/
[2] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
[3] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
[4] https://www.kaspersky.de/enterprise-security/endpoint
[5] https://www.kaspersky.de/enterprise-security/threat-intelligence
Nützliche Links:
- Kaspersky-Analyse zu AdvancedIPSpyware: https://securelist.com/uncommon-infection-and-malware-propagation-methods/107640/
- Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response
- Kaspersky Automated Security Awareness Platform: https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
- Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
- Kaspersky Endpoint Security for Business: https://www.kaspersky.de/enterprise-security/endpoint
