[datensicherheit.de, 15.07.2019] „Turla“, ein russischsprachiger Bedrohungsakteur, hat laut kaspersky sein Portfolio an Bedrohungswerkzeugen umfassend modifiziert: Die Hacker-Gruppe habe ihre bekannte „JavaScript-KopiLuwak“-Malware um einen neuen Dropper namens „Topinambour“ erweitert, der von Cybersecurity-Experten in zwei ähnlichen Versionen und in anderen Sprachen identifiziert worden sei. Diese Malware werde jetzt unter anderem über infizierte Software-Installationspakete zur Umgehung von Internetzensur verbreitet. Die Sicherheitsexperten glauben, dass diese Maßnahmen darauf abzielten, das Erkennungsrisiko ihrer Schadprogramme zu minimieren und die Auswahl idealer Zielopfer zu präzisieren. „Topinambour“ sei Anfang 2019 bei einer Kompromittierungsaktion gegen Regierungsstellen entdeckt worden.

Abbildung: kaspersky

Infographik: „Topinambour“-Infektionsprozess

Turla: Äußerst innovative Hacker-Gruppe

Bei „Turla“ handele es sich um einen bekannten russischsprachigen Bedrohungsakteur, der sich auf Cyber-Spionageaktivitäten gegen staatliche und diplomatische Ziele spezialisiert habe. Diese Gruppe gelte als äußerst innovativ und sei durch ihre charakteristische „KopiLuwak“-Malware – erstmals Ende 2016 beobachtet – bekannt geworden.
2019 haben nun kaspersky-Forscher nach eigenen Angaben neue, von „Turla“ entwickelte Tools und Techniken entdeckt, mit denen der Tarnungsgrad ihrer Malware erhöht und infolgedessen die Erkennungswahrscheinlichkeit minimiert werde.
„Topinambour“ (benannt nach dem Gemüse Topinambur) sei eine neue, von „Turla“ verwendete „.NET-Datei“, um das JavaScript „KopiLuwak“ mittels infizierter Installationspakete für legitime Softwareprogramme (etwa VPNs zur Umgehung von Internetzensur) zu streuen.

Cyber-Kriminelle reduzieren Erkennungsrisiko

„KopiLuwak“ sei zum Zwecke der Cyber-Spionage konzipiert worden und „Turlas“ neu entwickelter Infektionsprozess beinhaltee Funktionalitäten, die der Malware helfen würden, eine Erkennung zu vermeiden.
So verfüge etwa die Command-and-Control-Infrastruktur über IPs, die gewöhnliche LAN-Adressen imitierten. Darüber hinaus agiere diese Malware fast vollständig „fileless“. Die letzte Phase des Infektionsprozesses, bei der ein verschlüsselter Trojaner die Fernverwaltung übernehme, sei komplett in die Registry des Computers eingebettet. Die Malware könne, sobald sie bereit ist, auf diese zugreifen.
Die beiden neu entdeckten „KopiLuwak“-Versionen, der „.NET-RocketMan“-Trojaner und der „PowerShell-MiamiBeach“-Trojaner seien ebenfalls für Cyber-Spionage konzipiert. Die kaspersky-Forscher sind der Ansicht, dass diese Varianten „gegen Ziele mit installierter Sicherheitssoftware eingesetzt werden, die in der Lage ist, ,KopiLuwak‘-Trojaner zu erkennen“. Nach erfolgreicher Installation seien alle drei Versionen in der Lage:

• Die individuellen Spezifika (Fingerprint targets) infizierter Zielrechner umfassend zu analysieren.
• Gespeicherte Informationen über System- und Netzwerkadapter zu sammeln.
• Daten zu stehlen.
• Zusätzliche Malware herunter zu laden und auszuführen.

„MiamiBeach“ darüber hinaus fähig, Screenshots zu machen

„In diesem Jahr zeigt sich ,Turla‘ mit überarbeitetem Toolset an Schadprogrammen und mit mit einer Reihe neuer Funktionen, die eine Erkennung durch Sicherheitslösungen und Forscher erschweren. Dazu gehören eine Reduzierung des digitalen Fingerabdrucks der Malware und zwei neue, nach ähnlichem Design konzipierte Versionen der bekannten ,KopiLuwak‘-Malware“, erläutert Kurt Baumgartner, leitender Sicherheitsforscher bei kaspersky.
„Der Missbrauch von Installationspaketen für VPN-Software, die Internetzensur umgehen können, deutet darauf hin, dass sich die Angreifer klar definierte Cyber-Spionageziele für diese Tools gesetzt haben“, so Baumgartner. Die kontinuierliche Weiterentwicklung des „Turla“-Portfolios unterstreiche die Notwendigkeit, Threat-Intelligence-Lösungen und geeignete Sicherheitssoftware einzusetzen, die vor den neuesten Tools und Techniken von APTs (Advanced Persistence Threats) schützen.
Beispielsweise würde ein Endpunktschutz und die Überprüfung von Datei-Hashes nach dem Herunterladen von Installationssoftware helfen, um sich vor Bedrohungen wie „Topinambour“ entsprechend zu schützen.

kaspersky-Tipps für mehr Sicherheit vor komplexen Gefahren:

Um das Risiko zu verringern, Opfer komplexer Cyber-Spionageoperationen zu werden, empfiehlt Kaspersky folgende Maßnahmen:

• IT-Security-Schulungen für Unternehmensmitarbeiter, um das Sicherheitsbewusstsein zu stärken und potenziell schädliche Anwendungen oder Dateien zu erkennen und zu vermeiden. So sollten Mitarbeiter beispielsweise keine Anwendungen oder Programme aus nicht vertrauenswürdigen oder unbekannten Quellen herunterladen und starten.
• Implementierung einer EDR-Lösung (wie z.B. „Kaspersky Endpoint Detection and Response“) zur Erkennung, Untersuchung und rechtzeitigen Behebung von Vorfällen auf Endpoint-Ebene.
• Integration einer unternehmensweiten Sicherheitslösung, die komplexe Bedrohungen auf Netzwerkebene frühzeitig erkennt (etwa die „Kaspersky Anti Targeted Attack Platform“).
• Permanenter Zugang des „Security Operation Center“ (SOC) auf aktuelle Bedrohungsinformationen, um über die neuen und aufkommenden Tools, Techniken und Taktiken von Cyber-Kriminellen auf dem Laufenden zu bleiben.

Weitere Informationen zum Thema:

kaspersky SECURELIST, 15.07.2019
Turla renews its arsenal with Topinambour

kaspersky SECURELIST, 02.02.2017
KopiLuwak: A New JavaScript Payload from Turla

kaspersky
Kaspersky Security Awareness

datensicherheit.de, 29.05.2019
Turla: Neue Angriffswerkzeuge der Spionagegruppe enttarnt

datensicherheit.de, 20.03.2017
KASPERSKY lab warnt: IT-Sicherheitsbranche übersieht potenzielle Nachwuchskräfte

[datensicherheit.de, 29.05.2019] „Turla“, eine auch „Snake“ oder „Uroburos“ genannte Spionagegruppe, macht laut ESET „immer wieder mit ausgeklügelten, innovativen Malware-Angriffen auf sich aufmerksam“. Nach eigenen Angaben haben ESET-Forscher neue, sogenannte TTPs (Tactics, Techniques and Procedures) von „Turla“ mit dateilosen Angriffen entdeckt und entschlüsselt.

Turla nutzt PowerShell aus

Die Hacker nutzten nun „PowerShell“ für ihre Angriffe auf Regierungen, militärische Ziele oder Forschungseinrichtungen aus. Über „PowerShell“-Skripte könnten sie Malware-Dateien und -Bibliotheken direkt im Speicher von PCs platzieren und ausführen.
Damit umgingen sie die Gefahr der Entdeckung durch Sicherheitslösungen, welche bei herkömmlichen Angriffen mit Dateien als Anhang oder im Download anschlagen würden.

Sicherheitslösungen überwachen RAM zu selten

„Viele Antimalware-Programme und auch der ,Windows Defender‘ sind immer noch nicht in der Lage, den RAM-Arbeitsspeicher komplett und in Echtzeit zu überprüfen. So haben dateilose Angriffe leichtes Spiel und können problemlos beliebige Schadsoftware nachladen“, erläutert Thomas Uhlemann, „Security Specialist“ bei ESET, die Gründe für das geänderte Vorgehen.
Wie genau „Turla“ dabei vorgeht, beschreiben demnach ESET-Forscher in ihrer vorgelegten Analyse. So erläuterten sie beispielsweise eine RPC-basierte Backdoor oder eine Backdoor, die „OneDrive“ als „Command and Control“-Server (C&C) nutzt. Gleichzeitig möchten sie Hilfestellung geben, wie diesen „PowerShell“-Skripten entgegengewirkt werden kann.

Abbildung: ESET Deutschland GmbH

„Turla“: RPC Backdoor

Weitere Informationen zum Thema:

welivesecurity by eseT, 29.05.2019
Einblick in die Welt der Turla PowerShell

datensicherheit.de, 28.05.2019
ESET-Ratgeber: „Datenschutz für Dummies“ kostenlos erhältlich

datensicherheit.de, 06.10.2016]
Cyberangriffe unter falscher Flagge täuschen Sicherheitsteams und Opfer