Remote-Access-Trojaner (RAT)
Remote-Access-Trojaner (RAT) werden von deren Autoren so entwickelt, dass sie auf der einen Seite einfach zu verwenden und auf der anderen Seite aber schwer zu identifizieren sind. Die Malware wird sowohl von weniger qualifizierten als auch fortgeschrittenen Akteuren gleichermaßen genutzt.
Poison Ivy hat eine komfortable grafische Benutzeroberfläche (GUI), um die kompromittierten Hosts zu verwalten und bietet einen einfachen Zugang zu einer reichen Palette von Post-Compromise-Tools. Poison Ivy wurde nun gezielt gegen pro-demokratische Organisationen und Unterstützer in Hongkong angewendet.
Malware mit niedrigen Erkennungsraten
Palo Alto vermutet, dass seit Mitte der 2000er Jahre die Bedrohungsakteure Poison Ivy häufig verwendeten, um damit Brückenköpfe innerhalb von Zielorganisationen zu etablieren. Grund dafür waren die niedrigen Erkennungsraten für Poison Ivy sowohl durch AV- als auch IDS-Systeme. Seit der letzten Veröffentlichung von Version 2.3.2 im Jahr 2008 waren neue Varianten des Tools ebenfalls eher selten zu sehen, vor allem Versionen, die die Kernkommunikationsprotokolle ändern.
Das Unit 42, Malware-Analyseteam von Palo Alto Networks, hat nun eine neue Version von Poison Ivy, die die Search-Order-Hijacking-Technik DLL Sideloading verwendet, die häufig in Malware wie PlugX zum Einsatz kommt. Der Poison Ivy Builder bietet optional als Ausgabeformat entweder eine PE-Datei oder Shellcode. In diesem Fall wurde die Backdoor als Shellcode gebaut und dann verschleiert, um eine Erkennung zu verhindern.
Die neue Variante SPIVY
Unit 42 beschreibt die neue Variante, die als SPIVY bezeichnet wird folgendermaßen:
Sie wird ausgeliefert mittels „bewaffneten“ Dokumenten unter Ausnützung der Sicherheitslücke CVE-2015-2545. Die verwendeten Dokumente sind als Köder/Lockvogel („Decoy“) vorgesehen, da in allen Samples Themen mit Bezug auf die jüngsten Pro-Demokratie-Veranstaltungen Hongkong enthalten sind. Diese Decoy-Dokumente sind eine gängige Technik, die von vielen Akteuren verwendet wird, um Opfer dazu zu verleiten, dass sie glauben, legitime Dateien von Spear-Phishing-E-Mails geöffnet haben. Der Angreifer sendet eine bösartige Datei, die den Host mit Malware infiziert und zeigt dann ein sauberes Dokument, das einen Inhalt enthält, den das Opfer zu sehen erwartet. Die Köderdokumente im Zusammenhang mit SPIVY sind bemerkenswert, weil sie sehr spezifisch auf Ereignisse und Organisationen verweisen, die nicht auf breiter Ebene oder außerhalb der Region Hongkong Region und der Pro-Demokratie-Bewegung bekannt sind.
Über Palo Alto Networks
Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet.
