Malware-Infektionen des Schädlings Miniduke aus dem Jahr 2013 sind nach wie vor aktiv und werden für Cyberkampagnen eingesetzt, die sich gegen Einrichtungen von Regierungen und andere Instanzen richten. Dies geht aus einer aktuellen Analyse von Kaspersky Lab hervor [1]. Der neue Schädling mit dem Namen CosmicDuke hat es auf diplomatische Organisationen, den Energiesektor, Telekommunikationsbetreiber, Rüstungsunternehmen und Einzelpersonen abgesehen, die in den Handel und den Verkauf mit illegalen Substanzen involviert sind. Eine Liste der Opfer zeigt, dass die Hintermänner von Miniduke mit der neuen Angriffswelle ihren Aktionsradius ausweiten. Die neue hierfür genutzte Plattform – BotGenStudio – könnte nicht nur für APT-Attacken [2], sondern auch von Strafverfolgungsbehörden und traditionellen Kriminellen eingesetzt werden. CosmicDuke fungiert unter anderem als Keylogger, sammelt diverse Daten, macht Screenshots und stiehlt Passwörter für beliebte Chat-Tools, Mail-Programme und Browser.
Bei der Analyse der Server von Miniduke hat Kaspersky Lab eine Liste mit den Opfern und deren Länderzugehörigkeit extrahiert. So kann festgehalten werden, dass es die bereits bekannte Miniduke-Version auf Ziele in Australien, Belgien, Deutschland, Frankreich, den Niederlanden, Spanien, der Ukraine, Ungarn und in den Vereinigten Staaten von Amerika abgesehen hat. Opfer in mindestens drei dieser Länder zählt Kaspersky Lab zur Kategorie „Regierungen“.
Hingegen ergab die Analyse eines Servers von CosmicDuke – der neu entdeckten Version – eine lange Liste mit Opfern (139 einzelne IPs) mit Beginn im April 2012. Die Opfer kommen aus den folgenden Ländern: Georgien, Russland, USA, Großbritannien, Kasachstan, Indien, Weißrussland, Zypern, Ukraine und Litauen. Die Angreifer waren also sehr daran interessiert, ihre Operationen auszuweiten und scannten IP-Bereiche und Server in Aserbaidschan, Griechenland und der Ukraine.
Die ungewöhnlichsten Opfer waren Einzelpersonen, die in den Handel und Verkauf von illegalen Substanzen involviert sind, wie beispielsweise Steroide und Hormone. Die Opfer wurden ausschließlich in Russland identifiziert.
„Dies ist ein bisschen ungewöhnlich, da wir normalerweise, wenn wir von APT-Attacken sprechen, an von staatlich gestützte Cyberspionageprogramme denken“, so Vitaly Kamluk, Principal Security Researcher, Global Research & Analysis Team bei Kaspersky Lab. „Dies könnte zweierlei Gründe haben: Zum einen kann die Plattform BotGenStudio, die bei Miniduke verwendet wird, auch als so genanntes legales Spyware-Tool genutzt werden – ähnlich wie das Remote Control System (RCS) von HackingTeam von Strafverfolgungsbehörden genutzt wird. Zum anderen könnten Wettbewerber der Pharmaindustrie sich gegenseitig ausspionieren, weil im Untergrund leicht an das Tool zu kommen ist.“
Obwohl an unterschiedlichen Stellen die englische Sprache verwendet wird, deuten verschiedene Indikatoren wie Zeichenketten, die den neuen Malware-Komponenten beigefügt wurden, darauf hin, dass es sich bei den Angreifern nicht um englische Muttersprachler handelt.
Zudem hat die Kaspersky-Analyse ergeben, dass die Miniduke/CosmicDuke-Angreifer der klassischen Montag-bis-Freitag-Arbeitswoche folgten. Allerdings arbeiteten sie von Zeit zu Zeit auch am Wochenende. Am aktivsten waren die Angreifer von sechs Uhr morgens bis sieben Uhr abends (GMT) – der Großteil der Arbeit wurde zwischen sechs Uhr morgens und vier Uhr nachmittags verrichtet.
Das „neue“ Miniduke-Backdoor im Detail
Nach der Veröffentlichung einer Analyse von Kaspersky Lab und CrySyS Lab [3] im vergangenen Jahr wurden die APT-Miniduke-Angriffe gestoppt, allerdings Anfang dieses Jahres wieder fortgesetzt. Kaspersky Lab stellt bei seiner neuen Miniduke-Analyse Unterschiede hinsichtlich der Angriffswege und der eingesetzten Tools fest.
Die Miniduke-Hintermänner setzen bei ihrer neuen Angriffswelle ein anderes maßgeschneidertes Backdoor-Programm ein, mit dem verschiedene Arten von Informationen gestohlen werden können. Die Malware imitiert beliebte Applikationen, die gewöhnlich im Hintergrund laufen, vor, darunter Dateiinformationen, Icons und sogar die Dateigröße.
Das neue Haupt-Backdoor von Miniduke – auch TinyBaron oder CosmicDuke genannt – nutzt ein anpassbares Programmiergerüst (Framework) namens BotGenStudio, das flexibel Komponenten an- und ausschalten kann, wenn die Schadsoftware erzeugt wird. Die Komponenten zeichnen sich durch drei Eigenschaften aus.
- ·Langlebigkeit: Miniduke/CosmicDuke ist in der Lage, über das Programm Windows Task Scheduler einen Service individuell zu starten. So kann ein neuer Prozess in einem speziellen Registrierungsschlüssel erzeugt oder ausgeführt werden, wenn der Nutzer nicht am Platz ist und der Bildschirmschoner aktiv ist.
- Aufklärungsauftrag: Die Malware kann verschiedene Informationen stehlen, inklusive Dateien mit den folgenden Endungen und Dateierweiterungen: *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *psw*; *pass*; *login*; *admin*; *vpn; *.jpg; *.txt; *.lnk; *.dll; *.tmp. etc.Das Backdoor kann darüber hinaus als Keylogger und Spähdienst zur Durchsuchung des Netzwerks eingesetzt werden. Daneben ist es in der Lage, Screenshots anzufertigen sowie Daten aus der Zwischenablage zu durchstöbern. Zudem kann es Informationen aus Microsoft Outlook oder dem Windows-Adressbuch sowie Passwörter für Skype, Google Chrome, Google Talk, Opera, TheBat!, Firefox, und Thunderbird entwenden. Auch das Sammeln von Geheimnissen aus verschlüsselten Containern und das Exportieren von digitalen Zertifikaten oder privaten Schlüsseln stellt für die neue Miniduke-Version kein Problem dar.
- Exfiltration: Die Malware implementiert unterschiedliche Arten von Netzanbindungen, um gesammelte Daten erfolgreich exfiltrieren zu können – darunter den Upload via FTP und drei verschiedene HTTP-Kommunikationsmechanismen.Ein weiteres interessantes Feature ist das Speichern von herausgefilterten Daten. Wird eine Datei auf einen Command-and-Control-Server (C&C-Server) hochgeladen, wird diese in zwei kleine Stücke (~3Kb) geteilt, die anschließend komprimiert, verschlüsselt und in einem Container abgelegt und auf den Server hochgeladen werden können. Ist die Datei groß genug, kann sie in verschiedene, unterschiedliche Container platziert werden, die unabhängig hochgeladen werden. Durch diese Mechanismen wird gewährleistet, dass nur wenige Forscher Zugang zu den Originaldaten haben werden.
Einzigartige Features
Jedes von Miniduke anvisierte Opfer erhält eine einzigartige ID. So können spezielle Updates an ein einzelnes Opfer ausgeliefert werden.
Zum eigenen Schutz nutzt das Schadprogramm ein angepasstes verschleiertes Ladeprogramm, das erhebliche CPU-Ressourcen verbraucht, bevor die Schadfunktionen ausgeführt werden. Auf diese Weise werden Anti-Malware-Lösungen daran gehindert, die Malware zu analysieren und via Emulatoren schädliche Funktionen zu entdecken. Zudem wird die Analyse der Malware erschwert.
Doppelfunktion der C&Cs
Während ihrer Analyse erhielten die Kaspersky-Experten eine Kopie eines von Miniduke genutzten C&C-Servers. So kam heraus, dass dieser nicht nur für die Kommunikation zwischen den Hintermännern von CosmicDuke und den infizierten PCs zuständig war, sondern auch für andere Operationen, die von den Gruppenmitgliedern durchgeführt wurden, zum Beispiel das Hacken weiterer Internetserver mit dem Ziel, jegliche Informationen zu sammeln, die zu potenziellen Zielen führen könnten. Dafür wurde der C&C-Server mit einer Reihe von öffentlich verfügbaren Hacking-Tools ausgestattet, um nach Schwachstellen auf Webseiten zu suchenund um diese zu kompromittieren.
Die Lösungen von Kaspersky Lab erkennen das CosmicDuke-Backdoor als Backdoor.Win32.CosmicDuke.gen und Backdoor.Win32.Generic.
Weitere Erkenntnisse sind unter https://www.securelist.com/en/blog/208214341/Miniduke_is_back_Nemesis_Gemina_and_the_Botgen_Studio abrufbar.
[1] https://www.securelist.com/en/blog/208214341/Miniduke_is_back_Nemesis_Gemina_and_the_Botgen_Studio
[2] http://de.wikipedia.org/wiki/Advanced_Persistent_Threat
[3] https://www.securelist.com/en/blog/208194129/The_MiniDuke_Mystery_PDF_0_day_Government_Spy_Assembler_0x29A_Micro_Backdoor
