Sicherheitsforscher berichten von einem Netz, über das Kriminelle Zero-Day-Lücken austauschen, mit denen sich selbst bekannte Unternehmen angreifen lassen. An dem Tauschhandel ist einem Whitepaper (PDF) von Symantec zufolge auch Black Vine beteiligt, die Gruppierung, die mutmaßlich den Datendiebstahl bei der zweitgrößten US-Krankenversicherung Anthem durchgeführt hat.
Den Forschern zufolge hat es Black Vine vor allem auf die Branchen Luftfahrt, Medizin, Energieversorgung, Rüstung und Militär, Finanzen, Landwirtschaftstechnik und IT abgesehen. Sie arbeitet nicht nur mit Zero-Days, also noch nicht bekannten und nicht gepatchten Lücken, sondern passt auch Malware regelmäßig an ihre Zwecke an. Die Mehrzahl an Infektionen wurde in den USA, China, Kanada, Italien und Dänemark angetroffen – in dieser Reihenfolge.
Trojan.Sakurel) sowie Mivast (offiziell Backdoor.Mivast) auf Black Vine zurückgeführt. Sie können unter anderem auf infizierten Systemen Hintertüren öffnen, Dateien auf Befehl aus der Ferne ausführen, Registry Keys löschen, modifizieren und erstellen sowie Daten aller Art sammeln. Verteilt werden sie über so genannte Wasserlöcher, also infizierte Websites, die für eine Zielgruppe von Interesse sind, aber auch Spearphishing mit angeblichen technischen Dokumenten.
So werden die Schadprogramme Hurix und Sakurel (gemeinsame offizielle BezeichnungAuf einen Untergrund-Austausch von Zero-Days schließt Symantec, da mehrere von Black Vine genutzte Schwachstellen zugleich auch von anderen Kriminellen angegriffen wurden. Die gleichzeitige Verwendung lasse auf eine Austauschplattform schließen – mutmaßlich die vor drei Jahren entdeckte Plattform Elderwood. Sie befindet sich wahrscheinlich in China. Etwa Hidden Lynx, Vidgrab, Icefog und Sakurel wurden alle darüber verteilt.
In seiner Zusammenfassung nennt Symantec Black Vine eine „beeindruckende“ Gruppe mit umfangreichen Ressorcen, die ihre Schadprogramme häufig modifiziere, um einer Erkennung durch Antiviren- und andere Sicherheitssoftware zu entgehen. Mutmaßlich werde man sich noch eine Weile mit ihr beschäftigen müssen.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…