Weltweit tausende Nutzer kompromittiert
Der Angriff wurde zunächst von der Nutzeranalyse-Lösung DatAlert erkannt, die einen nordamerikanischen Varonis-Kunden über Dropper-Aktivität, interne Lateralbewegungen und verdächtige Netzwerkaktivitäten informierte. Dem Varonis-Forscherteam gelang es durch Reverse-Engineering, den aktiven Command- and Control-Server des Angreifers zu identifizieren und damit das Ausmaß der Attacke zu bestimmen, wie netzpalaver.de dazu berichtete.
Demnach sind weltweit tausende Nutzer kompromittiert und werden aktiv von den Angreifern kontrolliert. Weitere Informationen, die durch die Untersuchung des Servers gewonnen werden konnten, deuten auf die Identität der Angreifer hin. Das Varonis-Team hat im Rahmen einer responsible disclosure (verantwortungsvolle Enthüllung) unter anderem zusätzliche nicht-öffentliche Informationen an die zuständigen Behörden weitergeleitet.
Identifizierung schwierig
Wie es weiter dazu heißt, nutzen die Cyberkriminellen für ihren Angriff eine neue Variante von Qbot/Qakbot, einer bereits seit 2009 bekannten und mittlerweile deutlich weiterentwickelten Malware, deren Ziel der Diebstahl von Banking-Zugangsdaten ist. Qbot verwendet dabei Anti-Analyse-Techniken, gefälschte oder gestohlene Sicherheitszertifikate und stets neue Angriffsvektoren, um sich einer Entdeckung zu entziehen, und ist in der Lage, sich wurmartig in Netzwerken auszubreiten.
Eine Identifizierung der Malware wird auch durch ihren polymorphen Charakter erschwert, d.h. sie verändert sich ständig. So erstellt sie Dateien und Ordner mit zufälligen Namen, ihre Dropper wechseln häufig den Command & Control-Server und auch der Malware-Loader ändert sich, wenn eine aktive Internetverbindung besteht.
Weiterführende Links:
blogvaronis2.wpengine.com: Ausführliche Informationen zur Malware
netzpalaver.de: Varonis identifiziert neue gefährliche Variante der Banking-Malware Qbot/Qakbot