Digital
Online-Sicherheit

Angriff per Lebenslauf: Diese russische Malware bleibt nahezu unentdeckt

Cozy Bear, APT29
Hinter der im Mai entdeckten Schadsoftware soll die russische Elite-Hacker-Gruppe Cozy Bear, auch bekannt als APT29, stecken.Screenshot: Crowdstrike

Angriff per Lebenslauf: Diese russische Malware bleibt nahezu unentdeckt

Eine neue Windows-Malware ist von 56 Antivirenprogrammen nicht entdeckt worden. Sicherheitsforscher sehen die Schadsoftware in Zusammenhang mit einer bekannten Hackergruppe.
06.07.2022, 14:4406.07.2022, 17:03
Mehr «Digital»
Ein Artikel von
t-online

Ein neues, fast unauffindbares Schadprogramm steht offenbar in Zusammenhang mit einer russischen Hackergruppe. Das berichtet das IT-Magazin The Register und beruft sich auf Angaben der US-Sicherheitsforscher von Unit 42.

Die Malware sei ein Beweis dafür, dass die von Russland unterstützte Gruppe «Cozy Bear» (APT29) neue Wege gefunden habe, «ihr Unwesen zu treiben», heisst es.

Was macht die Malware so gefährlich?

Laut The Register sei das Programm von 56 bekannten Antivirenprogrammen nicht erkannt worden. Das Team hinter dem Tool namens Brute Ratel (BRC4), mit dem die Malware erstellt wurde, behauptet sogar, die Antiviren-Software durch sogenanntes «Reverse Engineering» analysiert zu haben. Mit dem Ziel, dass Schadprogramme wie die aktuelle Malware schwieriger als bisher erkannt werden können.

Die Malware tarnt sich gemäss der Sicherheitsforscher vom «Threat Intelligence Team Unit 42» (Palo Alto Networks) als Lebenslauf eines Mannes namens «Roshan Bandara».

Die Datei werde aber nicht im Word-Format geteilt, sondern mit der Endung «iso». Das ist eine Image-Datei, mit der der Computer beim Anklicken ein Laufwerk hinzufügt. Der Nutzer erkenne auf dem erstellten Laufwerk eine Datei mit dem Namen «Roshan-Bandara_CV_Dialog».

Ein Doppelklick auf die Datei öffne dann die Windows-Eingabeaufforderung «CMD.EXE» und führt dort den «OneDrive Updater» aus. Dieser lade daraufhin die Schadsoftware BRC4 aus dem Internet und installiere diese auf dem Rechner des Opfers.

Wer steckt dahinter?

Die Vorgehensweise der Malware erinnere Unit 42 stark an die von Russland unterstützte Hackergruppe «Cozy Bear», schreibt The Register. Diese hatte immer wieder Malware hinter Iso-Dateien versteckt. Ausserdem sei die aktuelle Iso-Datei am selben Tag erstellt worden, an dem eine neue Version von BRC4 veröffentlicht worden sei.

«Cozy Bear» war unter anderem verdächtigt worden, während der Corona-Pandemie unter anderem von Organisationen in der Forschung und Entwicklung von Impfstoffen «wertvolle Daten» zu stehlen. Ausserdem sollen sich die Hacker während der Amtszeit von Barack Obama Zugriff auf die E-Mail-Systeme des US-Aussenministeriums und des Weissen Hauses verschafft.

Quellen

(dsc/t-online)

Kuschelbären und böse Pandas
APT-Gruppen sind besonders gefährliche Hackergruppen, die rund um den Globus zuschlagen und dabei spezielle Angriffswerkzeuge und eigene Malware einsetzen.

Das Kürzel APT steht für Advanced Persistent Threat («fortgeschrittene andauernde Bedrohung») und bezieht sich auf aufwändig konzipierte, massgeschneiderte Cyberattacken. Meist geht es den staatlichen Auftraggebern um Spionage, Sabotage sowie Desinformation und Propaganda.

Bei ihren Hackerangriffen gehen die Angreifer sehr zielgerichtet vor und nehmen – wenn erforderlich – einen beträchtlichen Aufwand auf sich, um nach dem ersten Eindringen in einen geschützten Computer das gesamte Netzwerk des Opfers auszukundschaften, «Hintertüren» zu installieren und sich dort unbemerkt für längere Zeit einzunisten.

Öfters verwenden die Angreifer sogenannte Zero-Day-Exploits, um ihre Ziele zu erreichen. Das sind massgeschneiderte Hacking-Tools, die unbekannte IT-Schwachstellen ausnutzen, gegen die noch kein Gegenmittel existiert. Häufig ist Microsoft-Software betroffen, allen voran die Windows-Betriebssysteme sowie Office-Programme.

Die amerikanische IT-Sicherheitsfirma Mandiant begann als erste damit, den im Versteckten agierenden und namenlosen Hackergruppen zwecks Wiedererkennung eine Nummer zu geben – den Anfang machte «APT1», eine Cyberspionage-Einheit der Volksrepublik China.

Ein weiteres bekanntes Schema zur Bezeichnung von staatlichen und staatsnahen Hackern stammt von der Firma Crowdstrike: Dabei erhält jede Gruppe den Namen eines für das Herkunftsland typischen Tieres (z.B. Panda für China, Bär für Russland) sowie einen leicht zu merkenden Begriff, der meist willkürlich auf eine Besonderheit der Gruppe deutet – wie etwa «Wicked Panda» oder «Cozy Bear».

Die IT-Sicherheitsfachleute von Microsoft wiederum verwenden chemische Elemente als Namensgeber, so bezeichnen sie etwa APT25 aus China als «Nickel».
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die gefährlichsten Cyberwaffen und ihre Folgen
1 / 15
Die gefährlichsten Cyberwaffen und ihre Folgen
Mit der Entdeckung von Stuxnet geriet erstmals eine von staatlichen Hackern entwickelte Cyberwaffe ungewollt in private Hände. Die Schadsoftware war sehr wahrscheinlich von den USA und Israel um 2006 entwickelt worden – auch wenn die beteiligten Verantwortungsträger bis heute schweigen.
Auf Facebook teilenAuf X teilen
Hier trifft eine Monsterwelle die Hafenfähre in Hamburg
Video: watson
Das könnte dich auch noch interessieren:
21 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
University
06.07.2022 15:56registriert Juli 2019
Wer einen Lebenslauf im ISO-Format öffnet, das darin enthaltene exe File ausführt und dann damit eine OneDrive Update macht ist wahrscheinlich auch noch für ganz andere Phishing-Attacken anfällig…
1190
Melden
Zum Kommentar
avatar
Bits_and_More
06.07.2022 15:56registriert Oktober 2016
Wenn ein User für das Ansehen eines CV ein .iso einbindet, darauf klickt und anschliessend eine .exe öffnet...

Da müssen doch bei allen die Alarmglocken läuten.
810
Melden
Zum Kommentar
avatar
Simplicissimus
06.07.2022 15:50registriert Januar 2015
Vielleicht wird die Malware nicht erkannt.

Aber wer wird so dumm sein, um erst eine .iso Datei zu öffnen und dann in einem neuen Laufwerk noch eine .exe Datei, im einen Lebenslauf einer unbekannten Person zu öffnen? Eieiei

Ok, der Kommentar ist etwas gemein. Opfer werden wahrscheinlich vor allem KMUs sein ohne grosse IT und IT-fernen Mitarbeitenden.
620
Melden
Zum Kommentar
21
Frauenhass im Internet nimmt zu – «die Polizei muss proaktiv werden»
Männer stellen vermehrt Nacktbilder von Frauen, die sie kennen, ins Internet – zusammen mit ihren Telefonnummern. Obwohl es auch in der Schweiz Betroffene gibt, ermittelt die Polizei nicht proaktiv.

Wenn etwas eskaliert, folgen Taten. Doch was, wenn sich bereits eine Eigendynamik entwickelt hat?

Zur Story