News

Wild Neutron

Mysteriöser Cyberspionageakteur kehrt zurück

Redaktion RiskNET08.07.2015, 17:51

Im Jahr 2013 attackierte die Hackergruppe "Wild Neutron" – auch als "Jripbot” oder "Morpho” bekannt – einige hochrangige Firmen, darunter Apple, Facebook, Twitter und Microsoft. Anschließend verschwanden die Wild-Neutron-Angreifer für fast ein Jahr von der Bildfläche. Ende des Jahres 2013 beziehungsweise Anfang des Jahres 2014 wurden die Attacken fortgesetzt und liefen bis in das Jahr 2015 weiter. Eine neue Analyse1 von Kaspersky Lab zeigt, dass mittels eines gestohlenen, gültigen Codeverifizierungszertifikats sowie einer unbekannten Lücke im Flash Player weltweit die Systeme von Unternehmen und Privatpersonen infiziert und kritische Unternehmensinformationen gestohlen werden.
Die Cyberspionage-Experten konnte bisher Zielobjekte in elf Ländern identifizieren: neben Deutschland, Österreich und der Schweiz auch in Frankreich, Russland, Palästina, Slowenien, Kasachstan, den Vereinigten Arabische Emiraten, Algerien sowie den USA.

Attackiert wurden Anwaltssozietäten, Unternehmen im Bitcoin-Umfeld, Investmentgesellschaften, einige in M&A-Geschäfte (Mergers & Acquisitions) involvierte Firmen, IT-Unternehmen, Firmen innerhalb der Gesundheits- und Immobilien-Branche sowie Einzelpersonen.

Die Attacke scheint nicht von Nationalstaaten unterstützt zu werden. Es handelt sich wohl eher um einen mächtigen Akteur für Wirtschaftsspionage. Darauf deuten die Nutzung von Zero-Day-Exploits, Multi-Plattform-Malware sowie andere Technologien hin.

"Bei Wild Neutron handelt es sich um eine erfahrene und ziemlich vielseitige Gruppe, die seit 2011 aktiv ist und seitdem mindestens einen Zero-Day-Exploit, maßgeschneiderte Malware sowie Tools für Windows und OS X nutzt", so Costin Raiu, Director Global Research and Analysis Team bei Kaspersky Lab. "Obwohl die Gruppe in der Vergangenheit einige der bekanntesten Unternehmen der Welt angegriffen hat, hat sie es geschafft, sich über zuverlässige Sicherheitsprozesse im Hintergrund zu halten. Dass die Gruppe große IT-Unternehmen, Spyware-Entwickler (FlexiSPY), Foren von Dschihadisten (das "Ansar Al-Mujahideen English Forum”) sowie Bitcoin-Unternehmen im Visier hat, weist auf flexible und unübliche Interessen hin."

Das Angriffsszenario

Über welchen Weg die Erstinfektion stattfindet, ist noch unklar. Es gibt allerdings klare Anzeichen dafür, dass die Opfer über ein Kit infiziert werden, das ein unbekanntes Flash-Player-Exploit über kompromittierte Webseiten ausnutzt. Das Exploit liefert ein Malware-Dropper-Paket2 an das Opfersystem aus.

In den von Kaspersky Lab beobachteten Attacken war der Dropper mit einem legitimen Codeverifizierungszertifikat signiert. So kann die Malware die Entdeckung von einigen Schutzlösungen umgehen. Das bei den Wild-Neutron-Angriffen genutzte Zertifikat scheint von einem beliebten Anbieter für Unterhaltungselektronik gestohlen worden zu sein und ist nun annulliert worden.

Ist der Dropper im System, installiert er ein Backdoor-Modul, das sich grundsätzlich nicht von anderen Remote Access Tools (RATs) unterscheidet. Allerdings sticht die Sorgfalt der Angreifer heraus, die Adressen der verwendeten Command-and-Control-Server (C&C) sowie die Wiederherstellungsfähigkeit nach einer C&C-Abschaltung zu verbergen. Die C&C-Server sind ein wichtiger Bestandteil einer gefährlichen Infrastruktur; sie sind die Basis für die auf den Opfermaschinen befindliche Schadsoftware. Spezielle in der Malware eingebaute Funktionen unterstützen die Angreifer dabei, ihre Infrastruktur vor einer möglichen C&C-Abschaltung zu schützen.

Mysteriöse Herkunft

Der Ursprung der Angreifer bleibt ein Rätsel. Bei einigen Samples beinhaltet die verschlüsselte Konfiguration die Zeichenfolge "La revedere” ("Auf Wiedersehen” auf Rumänisch), um das Ende der C&C-Kommunikation zu kennzeichnen. Zudem haben die Experten von Kaspersky Lab eine weitere nichtenglische Zeichenfolge entdeckt, die eine lateinische Übersetzung des russischen Wortes "Успешно" ("uspeshno", deutsch: "erfolgreich") darstellt.

Die Produkte von Kaspersky Lab entdecken und blockieren die Schädlinge von Wild Neutron unter den folgenden Bezeichnungen: "Trojan.Win32.WildNeutron.gen", "Trojan.Win32.WildNeutron.*", "Trojan.Win32.JripBot.*" sowie "Trojan.Win32.Generic".

Detaillierte Analyse

Wild Neutron Hacker Group Victims

1 securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks

2 de.wikipedia.org/wiki/Dropper

 

 

[ Bildquelle: © peshkov - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Interview

Smarte Maschinen: Diener oder Dämonen?

Wie Künstliche Intelligenz unser Leben verändert ...

Redaktion RiskNET10.12.2018, 20:23

Ulrich Eberl, Zukunftsforscher und Buchautor, reiste in seiner Keynote "Smarte Maschinen – neue Sicherheitsanforderungen im Zeitalter der Künstlichen Intelligenz" auf dem RiskNET Summit...

News

RiskNET Summit 2018: Nachlese Tag 2

Stresstests, Handel und Attacken

Redaktion RiskNET25.10.2018, 17:05

Es gibt eine Konstante im Risikomanagement und das ist die Geopolitik. Die Überschrift könnte lauten: Die Welt befindet sich in unsicheren Zeiten – auf allen Kontinenten, um an das Thema Reisen...

News

RiskNET Summit 2018: Nachlese Tag 1

Vom Reisen in die Welt des Risikomanagements

Redaktion RiskNET24.10.2018, 20:45

Wer sich im Risikomanagement bewegt, der begibt sich auf eine Reise. Zumindest dann, wenn er die eigene Business- und Organisationswelt besser kennenlernen möchte oder sich selbst. Nur so lassen...

Kolumne

BCM Kompass 2018

Herausforderungen im Business Continuity Management

Christof Born | Marc Daferner06.09.2018, 14:03

Der BCM Kompass 2018 stieß auch mit seiner 9. Auflage auf gewohnt breites Interesse bei den BCM Verantwortlichen aus 29 teilnehmenden Instituten. Das Teilnehmerfeld umfasst unter anderem sechs der...

Interview

Garantenpflicht

Haftung eines Risikomanagers

Redaktion RiskNET16.07.2018, 19:30

Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 17.07.2009 (Az 5 StR 394/08) einen Leiter einer Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer Geldstrafe von...