Modifizierte Malware der Turla-Gruppe aufgetaucht

Die Turla-Gruppe ist bereits seit 2014 aktiv. Nach Ansicht der estnischen Regierung sind die Cyberangreifer russischen Ursprungs und operieren im Auftrag des russischen Geheimdienstes FSB.

Palo Alto Networks hat nun neue Erkenntnisse zu dieser Bedrohung gewonnen. Die Experten für Cybersicherheit weisen darauf hin, dass eine gewisse Unklarheit über diesen Exploit besteht, da er oft allgemein als CVE-2008-3431 bezeichnet wird.

Der von Turla verwendete Exploit missbraucht in Wirklichkeit jedoch zwei Schwachstellen, von denen nur eine in der oben erwähnten CVE behoben wurde. Die andere Schwachstelle hat Turla in der ersten Version ihres Exploits zusammen mit CVE-2008-3431 ausgenutzt. Die zweite Version des Exploits, vermutlich 2014 mit der Kernelmode-Malware eingeführt, nutzt nur die ungepatchte Schwachstelle.

In 2019 fanden die Experten heraus, dass ein noch unbekannter Akteur über die zweite ungepatchte Schwachstelle nicht nur den VirtualBox VBoxDrv.sys-Treiber v1.6.2, sondern auch alle anderen Versionen bis v3.0.0 ausnutzen konnte. Darüber hinaus ergaben die Untersuchungen, dass dieser unbekannte Angreifer die Version 2.2.0 des VirtualBox-Treibers ausnutzte, um im Jahr 2017 mindestens zwei verschiedene russische Unternehmen anzugreifen.

Palo Alto Networks geht davon aus, dass dies geschah, weil die Treiberversion 2.2.0 nicht als anfällig bekannt war und daher höchstwahrscheinlich nicht auf dem Radar von Sicherheitsanbietern stand. Da es keine weiteren Opfer gab, handelt es sich offenbar um eine sehr seltene Malware, die nur bei gezielten Angriffen zum Einsatz kommt.

Die Angreifer verwendeten eine bisher unbekannte Malware-Familie, der die Forscher den Namen AcidBox gaben. Der erste Teil ist ein Anagramm des Gerätenamens des Treibers der Malware und der zweite Teil stammt von VirtualBox. Aufgrund der Komplexität und Seltenheit der Malware und der Tatsache, dass sie Teil eines größeren Tool-Sets ist, gehen die Forscher davon aus, dass sie von versierten Hackern für gezielte Angriffe verwendet wurden,

Es ist wahrscheinlich, dass diese Malware auch heute noch Gebrauch findet, insofern der Angreifer noch aktiv ist. Die Forscher gehen jedoch davon aus, dass die Malware bis zu einem gewissen Grad umgeschrieben wurde. Auf der Grundlage der vorliegenden Informationen ist nicht davon auszugehen, dass dieser unbekannte Angreifer mit Turla in Verbindung steht, mit Ausnahme des verwendeten Exploits.

In Zusammenarbeit mit Dr.Web erfuhren die Experten von Palo Alto, dass diese Probe bei einem gezielten Angriff auf eine nicht näher bezeichnete Einheit in Russland im Jahr 2017 verwendet wurde. Drei weitere Proben derselben Malware-Familie wurden ermittelt. Zwei dieser Usermode-Beispiele sind Module, die den Main Worker aus der Windows-Registrierung laden, und eines ist der Kernelmode-Nutzlasttreiber, der in das Main Worker-Beispiel eingebettet ist. Darüber hinaus hat Palo Alto Kaspersky kontaktiert, da das Unternehmen seinen Hauptsitz in Russland hat. Kaspersky fand in seinen Datenbanken nur ein zusätzliches Sample, bei dem es sich ebenfalls um die Usermode-Loader-Version handelte. Die Palo Alto Experten wandten sich auch an ESET, das keine mit dieser Malware infizierten Opfer fand.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Jakob Jung

Recent Posts

Zertifikatsfehler: macOS X Catalina stuft HP-Druckertreiber als schädlich ein

Apple zieht das Zertifikat des Druckertreibers ohne Angaben von Gründen zurück. Betroffen ist auch macOS…

1 Stunde ago

Update für Windows 10 entfernt Adobe Flash Player

Es steht bisher nur im Microsoft Update Catalog zum Download bereit. Die in den Microsoft-Browsern…

2 Stunden ago

AMD stellt RDNA2-Grafikkarten-Generation RX 6000 vor

AMDs jüngste Grafikkarten-Generation basiert auf der RDNA2-Architektur. Den Anfang machen die Radeon RX 6800, RX…

10 Stunden ago

Ugreen-USB-C-Netzteile mit 65 Watt ausprobiert

Dank Support von Programmable Power Supply (PPS) sind die beiden Ugreen-Modelle besonders gut für das…

15 Stunden ago

LobbyControl: Facebook und Co. legen Mitgliedschaften offen

Die zunehmende Bedeutung der Lobbyarbeit von Digitalkonzernen in Europa spiegelt sich in deren Lobbyausgaben wider.…

18 Stunden ago

Eset: Cyberkriminelle nehmen Mitarbeiter im Home-Office ins Visier

Die Angriffe erfolgen zumeist über das RDP-Protokoll. Allein im deutschsprachigen Raum registrieren die Eset-Forscher rund…

21 Stunden ago