DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Hinter der im Mai entdeckten Schadsoftware soll die russische Elite-Hacker-Gruppe Cozy Bear, auch bekannt als APT29, stecken.
Hinter der im Mai entdeckten Schadsoftware soll die russische Elite-Hacker-Gruppe Cozy Bear, auch bekannt als APT29, stecken.Screenshot: Crowdstrike

Angriff per Lebenslauf: Diese russische Malware bleibt nahezu unentdeckt

Eine neue Windows-Malware ist von 56 Antivirenprogrammen nicht entdeckt worden. Sicherheitsforscher sehen die Schadsoftware in Zusammenhang mit einer bekannten Hackergruppe.
06.07.2022, 14:4406.07.2022, 17:03
Ein Artikel von
t-online

Ein neues, fast unauffindbares Schadprogramm steht offenbar in Zusammenhang mit einer russischen Hackergruppe. Das berichtet das IT-Magazin The Register und beruft sich auf Angaben der US-Sicherheitsforscher von Unit 42.

Die Malware sei ein Beweis dafür, dass die von Russland unterstützte Gruppe «Cozy Bear» (APT29) neue Wege gefunden habe, «ihr Unwesen zu treiben», heisst es.

Was macht die Malware so gefährlich?

Laut The Register sei das Programm von 56 bekannten Antivirenprogrammen nicht erkannt worden. Das Team hinter dem Tool namens Brute Ratel (BRC4), mit dem die Malware erstellt wurde, behauptet sogar, die Antiviren-Software durch sogenanntes «Reverse Engineering» analysiert zu haben. Mit dem Ziel, dass Schadprogramme wie die aktuelle Malware schwieriger als bisher erkannt werden können.

Die Malware tarnt sich gemäss der Sicherheitsforscher vom «Threat Intelligence Team Unit 42» (Palo Alto Networks) als Lebenslauf eines Mannes namens «Roshan Bandara».

Die Datei werde aber nicht im Word-Format geteilt, sondern mit der Endung «iso». Das ist eine Image-Datei, mit der der Computer beim Anklicken ein Laufwerk hinzufügt. Der Nutzer erkenne auf dem erstellten Laufwerk eine Datei mit dem Namen «Roshan-Bandara_CV_Dialog».

Ein Doppelklick auf die Datei öffne dann die Windows-Eingabeaufforderung «CMD.EXE» und führt dort den «OneDrive Updater» aus. Dieser lade daraufhin die Schadsoftware BRC4 aus dem Internet und installiere diese auf dem Rechner des Opfers.

Wer steckt dahinter?

Die Vorgehensweise der Malware erinnere Unit 42 stark an die von Russland unterstützte Hackergruppe «Cozy Bear», schreibt The Register. Diese hatte immer wieder Malware hinter Iso-Dateien versteckt. Ausserdem sei die aktuelle Iso-Datei am selben Tag erstellt worden, an dem eine neue Version von BRC4 veröffentlicht worden sei.

«Cozy Bear» war unter anderem verdächtigt worden, während der Corona-Pandemie unter anderem von Organisationen in der Forschung und Entwicklung von Impfstoffen «wertvolle Daten» zu stehlen. Ausserdem sollen sich die Hacker während der Amtszeit von Barack Obama Zugriff auf die E-Mail-Systeme des US-Aussenministeriums und des Weissen Hauses verschafft.

Quellen

(dsc/t-online)

Kuschelbären und böse Pandas
APT-Gruppen sind besonders gefährliche Hackergruppen, die rund um den Globus zuschlagen und dabei spezielle Angriffswerkzeuge und eigene Malware einsetzen.

Das Kürzel APT steht für Advanced Persistent Threat («fortgeschrittene andauernde Bedrohung») und bezieht sich auf aufwändig konzipierte, massgeschneiderte Cyberattacken. Meist geht es den staatlichen Auftraggebern um Spionage, Sabotage sowie Desinformation und Propaganda.

Bei ihren Hackerangriffen gehen die Angreifer sehr zielgerichtet vor und nehmen – wenn erforderlich – einen beträchtlichen Aufwand auf sich, um nach dem ersten Eindringen in einen geschützten Computer das gesamte Netzwerk des Opfers auszukundschaften, «Hintertüren» zu installieren und sich dort unbemerkt für längere Zeit einzunisten.

Öfters verwenden die Angreifer sogenannte Zero-Day-Exploits, um ihre Ziele zu erreichen. Das sind massgeschneiderte Hacking-Tools, die unbekannte IT-Schwachstellen ausnutzen, gegen die noch kein Gegenmittel existiert. Häufig ist Microsoft-Software betroffen, allen voran die Windows-Betriebssysteme sowie Office-Programme.

Die amerikanische IT-Sicherheitsfirma Mandiant begann als erste damit, den im Versteckten agierenden und namenlosen Hackergruppen zwecks Wiedererkennung eine Nummer zu geben – den Anfang machte «APT1», eine Cyberspionage-Einheit der Volksrepublik China.

Ein weiteres bekanntes Schema zur Bezeichnung von staatlichen und staatsnahen Hackern stammt von der Firma Crowdstrike: Dabei erhält jede Gruppe den Namen eines für das Herkunftsland typischen Tieres (z.B. Panda für China, Bär für Russland) sowie einen leicht zu merkenden Begriff, der meist willkürlich auf eine Besonderheit der Gruppe deutet – wie etwa «Wicked Panda» oder «Cozy Bear».

Die IT-Sicherheitsfachleute von Microsoft wiederum verwenden chemische Elemente als Namensgeber, so bezeichnen sie etwa APT25 aus China als «Nickel».
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Die gefährlichsten Cyberwaffen und ihre Folgen

1 / 15
Die gefährlichsten Cyberwaffen und ihre Folgen
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Hier trifft eine Monsterwelle die Hafenfähre in Hamburg

Video: watson

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

29 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
University
06.07.2022 15:56registriert Juli 2019
Wer einen Lebenslauf im ISO-Format öffnet, das darin enthaltene exe File ausführt und dann damit eine OneDrive Update macht ist wahrscheinlich auch noch für ganz andere Phishing-Attacken anfällig…
1180
Melden
Zum Kommentar
avatar
Bits_and_More
06.07.2022 15:56registriert Oktober 2016
Wenn ein User für das Ansehen eines CV ein .iso einbindet, darauf klickt und anschliessend eine .exe öffnet...

Da müssen doch bei allen die Alarmglocken läuten.
800
Melden
Zum Kommentar
avatar
Simplicissimus
06.07.2022 15:50registriert Januar 2015
Vielleicht wird die Malware nicht erkannt.

Aber wer wird so dumm sein, um erst eine .iso Datei zu öffnen und dann in einem neuen Laufwerk noch eine .exe Datei, im einen Lebenslauf einer unbekannten Person zu öffnen? Eieiei

Ok, der Kommentar ist etwas gemein. Opfer werden wahrscheinlich vor allem KMUs sein ohne grosse IT und IT-fernen Mitarbeitenden.
610
Melden
Zum Kommentar
29
Apple wollte wohl bei Facebook mitverdienen – Zuckerberg lehnte ab und nun tobt der Krieg
Jahre bevor Apple Facebooks Werbegeschäft torpedierte, forderte es offenbar eine Beteiligung an den Werbeumsätzen. Die Techgiganten sollen auch über ein Facebook-Abo verhandelt haben, an dem Apple mitverdient hätte.

Ein Bericht des «Wall Street Journal» wirft ein neues Licht auf das mehr als angespannte Verhältnis zwischen Apple und Facebook, das sich inzwischen in Meta umbenannt hat. Demnach soll Apple schon vor Jahren versucht haben, von Facebooks Werbegeschäft auf iOS zu profitieren.

Zur Story