Kaspersky: DuneQuixote schlägt zu
Malware-Kampagne zielt auf staatliche Einrichtungen
Kaspersky-Forscher haben eine bösartige Kampagne entdeckt, die ursprünglich auf eine Regierungseinrichtung im Nahen Osten ausgerichtet war. Bei weiteren Untersuchungen entdeckten sie mehr als 30 Malware-Dropper-Samples, die aktiv in dieser Kampagne eingesetzt wurden.
Im Rahmen der laufenden Überwachung bösartiger Aktivitäten entdeckten die Experten von Kaspersky im Februar 2024 eine bisher unbekannte Cyberspionage-Kampagne (DuneQuixote), die zunächst offenbar auf eine staatliche Einrichtung im Nahen Osten abzielte. Der Angreifer spionierte das Ziel heimlich aus und sammelte sensible Daten mit Hilfe einer ausgeklügelten Reihe von Tools, die auf Tarnung und Langlebigkeit ausgelegt sind.
Die anfangs eingesetzten Dropper der Malware tarnten sich als manipulierte Installationsdateien für ein legitimes Tool namens Total Commander. In diesen Droppern sind Zeichenketten aus spanischen Gedichten eingebettet, wobei sich die Zeichenfolgen von einem Muster zum anderen ändern. Diese Variation zielt darauf ab, die Signatur jeder Instanz zu verändern und die Entdeckung durch herkömmliche Methoden zu erschweren.
In den Dropper ist Schadcode eingebettet, der zusätzliche Nutzdaten in Form einer Hintertür namens CR4T transportieren kann. Diese Hintertüren, die in C/C++ und GoLang entwickelt wurden, zielen darauf ab, den Angreifern Zugriff auf den Rechner des Opfers zu gewähren. Insbesondere die GoLang-Variante nutzt eine Telegram-API für C2-Kommunikation und implementiert öffentliche Golang-Telegram-API-Bindungen.
„Die Varianten der Malware zeigen die Anpassungsfähigkeit und den Einfallsreichtum der Bedrohungsakteure hinter dieser Kampagne. Im Moment haben wir zwei solche Implantate entdeckt, aber wir vermuten stark die Existenz weiterer Instanzen“, kommentierte Sergey Lozhkin, leitender Sicherheitsforscher bei Kasperskys Global Research and Analysis Team (Great).
Die Kaspersky-Telemetrie identifizierte bereits im Februar 2024 ein Opfer im Nahen Osten. Außerdem wurden Ende 2023 mehrere Uploads derselben Malware auf einen halböffentlichen Malware-Scannerdienst gefunden.
Als Gegenmaßnahmen empfehlen die Forscher:
- Bieten Sie Ihrem SOC-Team Zugriff auf die neuesten Bedrohungsdaten,
- machen Sie Ihr Cybersecurity-Team fit für die neuesten gezielten Bedrohungen, etwa durch Online-Schulungen, die von den Great-Experten entwickelt wurden,
- implementieren Sie EDR-Lösungen für die Erkennung, Untersuchung und rechtzeitige Behebung von Vorfällen auf Endpunktebene, und
- implementieren Sie zusätzlich zum grundlegenden Endpunktschutz eine Sicherheitslösung auf Enterprise-Level, die fortschrittliche Bedrohungen auf Netzwerkebene frühzeitig erkennt.
Da viele gezielte Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen, sollten man ein Sicherheitstraining einrichten und den Teams praktische Fähigkeiten vermitteln.
Für Interessenten: Den kostenlosen Security Awareness Newsletter von connect professional können Sie hier abonnieren. Jede Ausgabe enthält einen praktischen Tipp, von dem garantiert auch Nutzer mit wenig IT-Affinität profitieren.
Lesen Sie mehr zum Thema
