Modifizierte Malware der Turla-Gruppe aufgetaucht

Die Turla-Gruppe ist bereits seit 2014 aktiv. Nach Ansicht der estnischen Regierung sind die Cyberangreifer russischen Ursprungs und operieren im Auftrag des russischen Geheimdienstes FSB.

Palo Alto Networks hat nun neue Erkenntnisse zu dieser Bedrohung gewonnen. Die Experten für Cybersicherheit weisen darauf hin, dass eine gewisse Unklarheit über diesen Exploit besteht, da er oft allgemein als CVE-2008-3431 bezeichnet wird.

Der von Turla verwendete Exploit missbraucht in Wirklichkeit jedoch zwei Schwachstellen, von denen nur eine in der oben erwähnten CVE behoben wurde. Die andere Schwachstelle hat Turla in der ersten Version ihres Exploits zusammen mit CVE-2008-3431 ausgenutzt. Die zweite Version des Exploits, vermutlich 2014 mit der Kernelmode-Malware eingeführt, nutzt nur die ungepatchte Schwachstelle.

In 2019 fanden die Experten heraus, dass ein noch unbekannter Akteur über die zweite ungepatchte Schwachstelle nicht nur den VirtualBox VBoxDrv.sys-Treiber v1.6.2, sondern auch alle anderen Versionen bis v3.0.0 ausnutzen konnte. Darüber hinaus ergaben die Untersuchungen, dass dieser unbekannte Angreifer die Version 2.2.0 des VirtualBox-Treibers ausnutzte, um im Jahr 2017 mindestens zwei verschiedene russische Unternehmen anzugreifen.

Palo Alto Networks geht davon aus, dass dies geschah, weil die Treiberversion 2.2.0 nicht als anfällig bekannt war und daher höchstwahrscheinlich nicht auf dem Radar von Sicherheitsanbietern stand. Da es keine weiteren Opfer gab, handelt es sich offenbar um eine sehr seltene Malware, die nur bei gezielten Angriffen zum Einsatz kommt.

Die Angreifer verwendeten eine bisher unbekannte Malware-Familie, der die Forscher den Namen AcidBox gaben. Der erste Teil ist ein Anagramm des Gerätenamens des Treibers der Malware und der zweite Teil stammt von VirtualBox. Aufgrund der Komplexität und Seltenheit der Malware und der Tatsache, dass sie Teil eines größeren Tool-Sets ist, gehen die Forscher davon aus, dass sie von versierten Hackern für gezielte Angriffe verwendet wurden,

Es ist wahrscheinlich, dass diese Malware auch heute noch Gebrauch findet, insofern der Angreifer noch aktiv ist. Die Forscher gehen jedoch davon aus, dass die Malware bis zu einem gewissen Grad umgeschrieben wurde. Auf der Grundlage der vorliegenden Informationen ist nicht davon auszugehen, dass dieser unbekannte Angreifer mit Turla in Verbindung steht, mit Ausnahme des verwendeten Exploits.

In Zusammenarbeit mit Dr.Web erfuhren die Experten von Palo Alto, dass diese Probe bei einem gezielten Angriff auf eine nicht näher bezeichnete Einheit in Russland im Jahr 2017 verwendet wurde. Drei weitere Proben derselben Malware-Familie wurden ermittelt. Zwei dieser Usermode-Beispiele sind Module, die den Main Worker aus der Windows-Registrierung laden, und eines ist der Kernelmode-Nutzlasttreiber, der in das Main Worker-Beispiel eingebettet ist. Darüber hinaus hat Palo Alto Kaspersky kontaktiert, da das Unternehmen seinen Hauptsitz in Russland hat. Kaspersky fand in seinen Datenbanken nur ein zusätzliches Sample, bei dem es sich ebenfalls um die Usermode-Loader-Version handelte. Die Palo Alto Experten wandten sich auch an ESET, das keine mit dieser Malware infizierten Opfer fand.