Zum Hauptinhalt springen
VIRENDEFINITION

Virentyp: Malware / Advanced Persistent Threat (APT)

Worum geht es?

Die Bedrohung „Crouching Yeti“ kam in verschiedenen APT-Kampagnen (Advanced Persistent Threat) zum Einsatz, die mindestens seit Ende 2010 aktiv sind.

Zu den häufigsten Zielen zählen folgende Bereiche:

  • Industrie/Maschinenbau
  • Fertigungsindustrie
  • Pharmazieunternehmen
  • Bauwesen
  • Bildungseinrichtungen
  • Informationstechnik

Nach gründlicher Forschung wurde ermittelt, dass die meisten Opfer dem Industrie- und Maschinenbausektor angehören. Dies deutet darauf hin, dass ein besonderes Interesse an dem entsprechenden Sektor besteht.

Die Bedrohung „Crouching Yeti“ infiziert Opfer mit drei Methoden: Spear-Phishing-E-Mails mit eingebetteten PDF-Dokumenten, die Adobe Flash-Exploit (CVE-2011-0611) enthalten.

  • Trojaner zur Software-Installation
  • Watering-Hole-Angriffe mit einer Reihe wiederverwendeter Exploits

Bedrohungsdetails

Bei Crouching Yeti handelt es sich eindeutig nicht um eine komplexe Kampagne. So nutzten die Angreifer beispielsweise keinerlei Zero-Day-Exploits, sondern ausschließlich Exploits, die überall im Internet verfügbar sind. Das hinderte die Kriminellen jedoch nicht daran, ihre Kampagne mehrere Jahre verborgen zu halten.

Insgesamt wissen wir von 2800 Opfern weltweit, von denen Kaspersky-Forscher 101 Unternehmen identifizieren konnten. Die Liste der Opfer deutet darauf hin, dass Crouching Yeti besonderes Interesse an strategischen Zielen hat. Allerdings zeigte die Gruppe auch Interesse an anderen, weniger offensichtlichen Unternehmen.

Die Kaspersky-Experten glauben zwar, dass es sich hierbei um Kollateralschäden der Kampagne handelt. Dennoch sollte Crouching Yeti aus diesem Grund nicht nur als höchst gezielte Kampagne mit speziellen Interessengebieten, sondern auch als breit angelegte Überwachungskampagne mit Interessen in verschiedenen Bereichen definiert werden.

Wie erkenne ich, ob mein Computer mit Crouching Yeti infiziert ist?

Am besten ermitteln Sie, ob Ihr Computer mit Crouching Yeti infiziert ist, indem Sie herausfinden, ob eine Eindringung stattgefunden hat. Zuverlässige Antiviren-Produkte, wie z. B. Kaspersky Anti-Virus, können die Bedrohung identifizieren.

Kaspersky-Produkte erkennen die in der Crouching-Yeti-Kampagne eingesetzte Malware mit folgenden Bedrohungsdefinitionen:

  • Trojan.Win32.Sysmain.xxx
  • Trojan.Win32.Havex.xxx
  • Trojan.Win32.ddex.xxx
  • Backdoor.MSIL.ClientX.xxx
  • Trojan.Win32.Karagany.xxx
  • Trojan-Spy.Win32.HavexOPC.xxx
  • Trojan-Spy.Win32.HavexNk2.xxx
  • Trojan-Dropper.Win32.HavexDrop.xxx
  • Trojan-Spy.Win32.HavexNetscan.xxx
  • Trojan-Spy.Win32.HavexSysinfo.xxx

Wie kann ich mich vor Crouching Yeti schützen?

  • Halten Sie Ihre Software immer auf dem neuesten Stand. Bisher verwendete Crouching Yeti keinerlei Zero-Day-Exploits – der Großteil der bisherigen Infektionen hätte sich also durch die bloße Aktualisierung der Drittanbietersoftware verhindern lassen.
  • Installieren Sie eine Sicherheitslösung, und halten Sie sie immer auf dem neuesten Stand, um Vireninfektionen zu vermeiden.
  • Auch Weiterbildung ist ein wichtiger Aspekt der Sicherheit, insbesondere in Hinsicht auf Spear-Phishing.

Malware „Crouching Yeti (Energetic Bear)“

Die Bedrohung „Crouching Yeti“ kam in verschiedenen APT-Kampagnen (Advanced Persistent Threat) zum Einsatz, die mindestens seit Ende 2010 aktiv sind.
Kaspersky Logo