Hacker-Gruppe LuckyMouse signiert Malware mit legitimem Zertifikat

Die Experten von Kaspersky Lab haben mehrere Infektionen eines bisher unbekannten Trojaners entdeckt, der höchstwahrscheinlich vom chinesischsprachigen Bedrohungsakteur LuckyMouse ...

Die Experten von Kaspersky Lab haben mehrere Infektionen eines bisher unbekannten Trojaners entdeckt, der höchstwahrscheinlich vom chinesischsprachigen Bedrohungsakteur „LuckyMouse“ stammt. Die Malware ist mit einem außergewöhnlichen Treiber ausgestattet, der mit einem legitimen digitalen Zertifikat eines Herstellers für Security-Software signiert ist.

Die Gruppe LuckyMouse ist bekannt für zielgerichtete Cyberangriffe auf große Unternehmen weltweit. Die Aktivitäten der Gruppe stellen eine Gefahr für ganze Regionen dar, da ihre Angriffe eine politische Agenda zu haben scheinen. Erst im vergangenen Juni hatte die Gruppe ein Datenzentrum in Zentralasien im Visier. Kaspersky Lab vermutet aus der Analyse der Opferprofile und der bisherigen Angriffsvektoren der Gruppe, dass der entdeckte Trojaner möglicherweise für staatlich unterstützte Cyberspionage eingesetzt wurde.

Kaspersky-Report zeigt Vorgehen von LuckyMouse

Der von Kaspersky Lab entdeckte Trojaner infizierte einen anvisierten Computer mit einem Treiber, der von den Bedrohungsakteuren selbst erstellt wurde. Damit konnten die Angreifer übliche Aufgaben wie Befehlsausführung, Down- und Upload von Dateien ausführen sowie den Netzwerkverkehr abfangen.

Der Treiber wurde offenbar mit einem gestohlenen digitalen Zertifikat versehen, das ursprünglich von einem Softwarehersteller für Informationssicherheit stammt, um ihn als vertrauenswürdig einstufen zu lassen. Damit sollte verhindert werden, dass die Malware-Samples von Sicherheitslösungen entdeckt werden – eine legitime Signatur lässt die Malware als legale Software erscheinen.

Obwohl der Akteur LuckyMouse in der Lage ist, selbst eigene schädliche Software zu erstellen, wurde für die verwendete Software scheinbar eine Kombination aus öffentlich zugänglichem Code aus öffentlichen Quellen und eigener Malware verwendet. Der Einsatz von gebrauchsfertigen Codes von Drittanbietern, anstatt eigenen Code zu schreiben, spart den Entwicklern Zeit und erschwert zudem die Zuschreibung (Attribuierung).

„LuckyMouse-Kampagnen erscheinen fast immer im Vorlauf eines hochkarätigen politischen Ereignisses und der Zeitpunkt eines Angriffs geht normalerweise einer Veranstaltung mit hochrangigen Politikern voraus“, so Denis Legezo, Sicherheitsforscher bei Kaspersky Lab.

 

Business Partner

Kaspersky Labs GmbH

Despag-Straße 3
85055 Ingolstadt
Deutschland

Kontakt zum Business Partner







Meist gelesen

Photo
19.01.2024 • News

Neuer Tarifvertrag für private Sicherheitskräfte in Hamburg

Am 18.01.24 einigten sich die Tarifvertragsparteien BDSW und ver.di für die rund 9.000 privaten Sicherheitskräfte in Hamburg auf einen neuen Tarifvertrag. Dieser hat eine Laufzeit von zwei Jahren und sieht zwei Erhöhungsschritte der Stundengrundlöhne vor.