Neue Cyberspionage-Kampagne bietet nie zuvor gesehene Malware-Tools

Angreifer versuchen immer, die Oberhand über ihre Ziele zu gewinnen. Viele der Methoden und Taktiken, die Angreifer verwenden, sind altbewährt. Aber manchmal sehen wir Dinge, die wir vorher noch nicht gesehen haben.

Ein Beispiel dafür wurde kürzlich in einem Artikel auf ZDNet aufgezeigt. Bedrohungsforscher entdeckten kürzlich, dass eine neue Form von Malware als Teil einer hochgradig geheimen Cyberspionagekampagne eingesetzt wird.

"TajMahal", benannt nach der Datei, die er zum Exfiltrieren gestohlener Daten verwendet, verfügt über eine Reihe neuer Funktionen, darunter: Diebstahl von Dokumenten, die an eine Druckerwarteschlange gesendet werden; die Fähigkeit, Dateien zu stehlen, die zuvor auf Wechsellaufwerken gesehen wurden, sobald sie wieder verfügbar sind; die Möglichkeit, Daten zu stehlen, die von einem Opfer auf eine CD gebrannt wurden; und die Fähigkeit, Screenshots zu machen, wenn Audio von VoiceIP-Anwendungen aufgezeichnet wird.

Diese Malware bietet Cyberkriminellen ein "vollwertiges Spionage-Framework", das es ihnen ermöglicht, Befehle direkt an die Hintertür infizierter Systeme zu senden. Dazu gehört die Möglichkeit, Systembefehle zu erteilen, Screenshots zu erstellen und Keylogging zu verwenden, um Benutzernamen und Kennwörter zu stehlen . Mit seinem Datei-Indexer kann er sogar Dokumente öffnen und exfiltrieren.

Den Forschern zufolge konnte sich TajMahal so lange unter dem Radar verstecken, weil es eine völlig neue Code-Basis hat, die keine Ähnlichkeiten mit bekannten APTs oder Malware aufweist, und weil es einen automatischen Update-Mechanismus verwendet, der regelmäßig neue Samples nach Bedarf verteilt.

Anspruchsvolle Funktionen zur Erkennung von Malware erforderlich

TajMahal zeigt erneut, dass die Industrialisierung der Cyberkriminalität eine Tatsache ist. Technische Spezialisten, nationale Akteure, Cyberkriminelle, Botnet-Master und viele andere Mitglieder der bösartigen Lieferkette arbeiten weiterhin auf ihrem Gebiet und zum gegenseitigen Nutzen zusammen. Und dieses neu entdeckte RAT- oder ATP-Framework ist nur ein weiterer Beweis dafür.

Auch wenn es auf den ersten Blick so aussieht, als ob dieser Exploit vor allem Angriffe von Nationalstaaten für Cyberspionage ermöglicht, sollten wir davon ausgehen, dass dieses Tool schließlich von geldorientierten Cyberkriminellen für ihre breiteren Zwecke genutzt und mutiert wird. Das passiert in der Regel mit ausgeklügelten neuen Angriffswerkzeugen: Die Nutzung breitet sich mit der Zeit aus.

Während erste Berichte über die Verbreitungsmethode von TajMahal unklar sind, ist angesichts der Tatsache, dass es sich bei dem Tokio-Teil um einen Dropper handelt, die Wahrscheinlichkeit sehr hoch, dass er per E-Mail verbreitet wird oder wurde. Aus diesem Grund sind E-Mail-Sicherheitssysteme mit hochentwickelten Malware-Erkennungsfunktionen ein Muss.

E-Mail-Sicherheitssysteme in Verbindung mit Endpunktschutz, Patching, Netzwerküberwachung, Websicherheit und anderen Sicherheitskontrollen sind ein wichtiger Bestandteil einer mehrschichtigen Sicherheitsstrategie.

Weitere Informationen hier .