Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Über 5 Jahre unentdeckte Malware infizierte 1 Million Geräte

Ein raffinierter Malware-Stamm, getarnt als Kryptowährungs-Miner, blieb über fünf Jahre unentdeckt und infizierte weltweit mehr als eine Million Geräte. Dies ergab eine Untersuchung von Kaspersky. Das Unternehmen hat der Bedrohung den Codenamen StripedFly gegeben und sie als "kompliziertes modulares Framework, das sowohl Linux als auch Windows unterstützt" beschrieben.

Bedrohungen
Lesezeit 4 Min.

Der russische Cybersecurity-Anbieter Kaspersky hat 2017 erstmals Proben der Malware entdeckt. Sie ist Teil einer wesentlich umfangreicheren Kampagne, die einen benutzerdefinierten EternalBlue SMBv1-Exploit verwendet. Dieser Exploit wird der Equation Group zugeschrieben und dient dazu, öffentlich zugängliche Systeme zu infiltrieren.

Der über den Exploit bereitgestellte bösartige Shellcode ist in der Lage, Binärdateien von einem entfernten Bitbucket-Repository herunterzuladen und PowerShell-Skripte auszuführen. Außerdem unterstützt er eine Reihe von Plugin-ähnlichen, erweiterbaren Funktionen, um sensible Daten abzugreifen und sich sogar selbst zu deinstallieren.

Laut einem kürzlich veröffentlichten technischen Bericht wird der Shellcode dieser Plattform in den legitimen Windows-Prozess „wininit.exe“ eingefügt. Dieser Prozess wird vom Bootmanager (BOOTMGR) gestartet und ist für die Initialisierung verschiedener Dienste verantwortlich. Die Malware-Nutzlast selbst ist als ein monolithischer ausführbarer Code aufgebaut, dessen Funktionen sich über Plug-in-Module nach Belieben erweitern oder aktualisieren lassen.

Die Schad-Software ist mit einem eingebauten TOR-Netzwerktunnel für die Kommunikation mit Befehlsservern ausgestattet, zusammen mit Update- und Lieferfunktionen über vertrauenswürdige Dienste wie GitLab, GitHub und Bitbucket, die alle benutzerdefinierte verschlüsselte Archive verwenden.

Weitere erwähnenswerte Spionagemodule ermöglichen es, alle zwei Stunden Anmeldedaten zu sammeln, unbemerkt Screenshots auf dem Gerät des Opfers zu erstellen, Mikrofoneingaben aufzuzeichnen und einen Reverse-Proxy zu starten, um Remote-Aktionen auszuführen.

Sobald die Malware erfolgreich Fuß gefasst hat, deaktiviert sie das SMBv1-Protokoll auf dem infizierten Host und verbreitet die Malware mithilfe eines Wurm-Moduls sowohl über SMB als auch über SSH auf andere Rechner, wobei sie die auf den gehackten Systemen erbeuteten Schlüssel verwendet.

Um sich auf den Systemen zu behaupten, nutzt StripedFly entweder die Windows-Registrierung oder erstellt Taskplaner-Einträge, sofern der PowerShell-Interpreter installiert ist und administrative Rechte vorhanden sind. Auf Linux-Systemen erreicht die Malware Persistenz, indem sie systemd-Benutzerdienste verwendet, automatisch gestartete .desktop-Dateien erstellt oder bestimmte Systemdateien wie /etc/rc*, Profil-, bashrc- oder inittab-Dateien verändert.

Die Malware lädt auch einen Kryptowährungs-Miner für Monero herunter. Dieser Miner verwendet DNS-over-HTTPS-Anfragen, um Pool-Server aufzulösen, was dazu dient, die bösartigen Aktivitäten besser zu verbergen. Dieser Miner wird oft als Ablenkung eingesetzt, um zu verhindern, dass Sicherheitssoftware die vollständigen Fähigkeiten der Malware erkennt.

Um den Fußabdruck zu minimieren, werden Malware-Komponenten, die ausgelagert werden können, als verschlüsselte Binärdateien auf verschiedenen Code-Repository-Hosting-Diensten wie Bitbucket, GitHub oder GitLab gehostet. Das Bitbucket-Repository des Bedrohungsakteurs beispielsweise enthält Dateien, die dazu verwendet werden können, die Malware auf Windows- und Linux-Systemen zu installieren und zu aktualisieren.

Die Kommunikation mit dem Command-and-Control-Server (C2) erfolgt über eine speziell angepasste TOR-Client-Implementierung, die nicht öffentlich dokumentiert ist. Die Forscher betonen das außergewöhnlich hohe Engagement, um den C2-Server zu verbergen. Es führte zur Entwicklung eines eigenen TOR-Clients, was ein einzigartiges und zeitaufwändiges Projekt darstellt.

Ein weiteres auffälliges Merkmal ist, dass diese Repositories als Fallback-Mechanismus für die Malware fungieren, um die Aktualisierungsdateien nur dann herunterzuladen, wenn die primäre Quelle (also der C2-Server) nicht mehr ansprechbar ist.

Kaspersky hat eine weitere Ransomware-Familie namens ThunderCrypt entdeckt, die viele Gemeinsamkeiten im Quellcode mit StripedFly aufweist, aber ohne das SMBv1-Infektionsmodul. ThunderCrypt wurde anscheinend im Jahr 2017 in Taiwan eingesetzt. Obwohl die Herkunft von StripedFly derzeit unbekannt ist, zeigt die Raffinesse des Frameworks und seine Ähnlichkeiten mit EternalBlue alle Anzeichen eines Advanced Persistent Threat (APTT) Akteurs.

Die Veröffentlichung des EternalBlue-Exploits fand durch die Shadow Brokers am 14. April 2017 statt, während die früheste Version von StripedFly, die EternalBlue einbezieht, bereits ein Jahr zuvor, am 9. April 2016 identifiziert wurde. Seit der Veröffentlichung wurde der EternalBlue-Exploit von nordkoreanischen und russischen Hacking-Gruppen umfunktioniert, um die WannaCry– und Petya-Malware zu verbreiten. Nach Informationen von Check Point vom Februar 2021 gibt es jedoch auch Hinweise darauf, dass chinesische Hackergruppen Zugang zu einigen Exploits der Equation Group hatten, bevor diese online bekannt wurden.

Kaspersky merkt an, dass StripedFly Ähnlichkeiten mit Malware aufweist, die der Equation Group zugeordnet wird. Diese Gemeinsamkeiten zeigen sich sowohl im Codierungsstil als auch in bestimmten Vorgehensweisen, die auch bei STRAITBIZARRE (SBZ) zu finden sind. SBZ ist eine weitere Cyber-Spionageplattform, die angeblich von einer gegnerischen Gruppe genutzt wird, die Verbindungen zu den USA haben könnte.

Diese Entwicklung kommt fast zwei Jahre, nachdem Forscher des chinesischen Pangu-Labors eine „erstklassige“ Backdoor namens Bvp47 beschrieben haben, die angeblich von der Equation Group für mehr als 287 Ziele in 45 Ländern und verschiedenen Branchen eingesetzt wurde.

Ein großer Rätselaspekt dieser Kampagne, der bisher ungelöst bleibt, ist ihr eigentlicher Zweck. Die Forscher vermuten, dass die Ransomware ThunderCrypt aus kommerziellen Gründen entwickelt wurde. Doch es ist unklar, warum die Entwickler nicht den potenziell profitableren Weg gewählt haben. Dies wirft die Frage auf, warum eine so anspruchsvolle und professionell gestaltete Malware angesichts aller gegenteiligen Hinweise einen vermeintlich einfachen Zweck verfolgt.

Diesen Beitrag teilen: