Virentyp: Malware / Advanced Persistent Threat (APT)
Die Bedrohung „Crouching Yeti“ kam in verschiedenen APT-Kampagnen (Advanced Persistent Threat) zum Einsatz, die mindestens seit Ende 2010 aktiv sind.
Zu den häufigsten Zielen zählen folgende Bereiche:
Nach gründlicher Forschung wurde ermittelt, dass die meisten Opfer dem Industrie- und Maschinenbausektor angehören. Dies deutet darauf hin, dass ein besonderes Interesse an dem entsprechenden Sektor besteht.
Die Bedrohung „Crouching Yeti“ infiziert Opfer mit drei Methoden: Spear-Phishing-E-Mails mit eingebetteten PDF-Dokumenten, die Adobe Flash-Exploit (CVE-2011-0611) enthalten.
Bei Crouching Yeti handelt es sich eindeutig nicht um eine komplexe Kampagne. So nutzten die Angreifer beispielsweise keinerlei Zero-Day-Exploits, sondern ausschließlich Exploits, die überall im Internet verfügbar sind. Das hinderte die Kriminellen jedoch nicht daran, ihre Kampagne mehrere Jahre verborgen zu halten.
Insgesamt wissen wir von 2800 Opfern weltweit, von denen Kaspersky-Forscher 101 Unternehmen identifizieren konnten. Die Liste der Opfer deutet darauf hin, dass Crouching Yeti besonderes Interesse an strategischen Zielen hat. Allerdings zeigte die Gruppe auch Interesse an anderen, weniger offensichtlichen Unternehmen.
Die Kaspersky-Experten glauben zwar, dass es sich hierbei um Kollateralschäden der Kampagne handelt. Dennoch sollte Crouching Yeti aus diesem Grund nicht nur als höchst gezielte Kampagne mit speziellen Interessengebieten, sondern auch als breit angelegte Überwachungskampagne mit Interessen in verschiedenen Bereichen definiert werden.
Am besten ermitteln Sie, ob Ihr Computer mit Crouching Yeti infiziert ist, indem Sie herausfinden, ob eine Eindringung stattgefunden hat. Zuverlässige Antiviren-Produkte, wie z. B. Kaspersky Anti-Virus, können die Bedrohung identifizieren.
Kaspersky-Produkte erkennen die in der Crouching-Yeti-Kampagne eingesetzte Malware mit folgenden Bedrohungsdefinitionen: