Symantec hat vor einem Trojaner gewarnt, der die internationale Energiebranche ausspionieren soll. Dem Blog des Sicherheitsunternehmens zufolge liegt der “Fokus auf dem Mittleren Osten”. Die Malware hat es Trojan.Laziok genannt.
Laziok ist dabei nur ein Teil einer mehrstufigen Kampagne und übernimmt die Rolle des Aufklärungswerkzeugs. Symantec hat die Angriffe eigenen Angaben zufolge im Januar und Februar beobachtet. Die Cyberkriminellen haben die Malware genutzt, um damit Zielsysteme zu infiltrierten. Anschließend entwendeten sie Daten zum System selbst und dem Netzwerk. Diese nahmen sie als Grundlage für die Vorbereitung weiterer Angriffe. Insgesamt sei es das Ziel, Betriebsgeheimnisse auszuspionieren.
Vor allem Firmen aus den Bereichen Erdöl-, Gas- und Heliumförderung gehören zu den Opfern der Angreifer. Am häufigsten betroffen sind die Länder Vereinigte Arabischen Emirate, Pakistan, Saudi-Arabien und Kuwait. Mit jeweils 5 Prozent der Infektion gehören auch die USA und Großbritannien zu den Zielen, aber bislang keine anderen europäischen Länder.
Die Angriffe gehen zunächst von der EU-Domain moneytrans[.]eu aus, ein SMTP-Server. Dieser verschickt E-Mails mit manipulierten Anhängen, die unter Windows die Schwachstelle CVE-2012-0158 in ActiveX ausnutzen. Dieser ermöglicht die Ausführung von Remote-Code. Zumeist tarnt sich der Downloader als Excel-Datei.
Ist der Trojaner erst einmal installiert, versteckt er sich in den Verzeichnissen %SystemDrive%\Documents und Settings\All Users\Application Data\System\Oracle. Seine Dateien gibt er dann legitim wirkende Namen wie search.exe und chrome.exe.
Im Anschluss sammelt der Trojaner Systemdaten wie Computernamen, installierte Software, RAM-Größe, CPU und installierte Antiviren-Anwendung. Diese übermittelt er an die Angreifer, die nun reagieren und zusätzlichen Schadcode aufspielen können, je nachdem, ob sie Schaden anrichten oder Daten stehlen wollen.
Symantec schreibt: “Die Gruppe hinter diesem Angriff wirkt nicht sehr entwickelt, da sie eine alte Schwachstelle nutzt und mit ihren Angriff bekannte Schadprogramme verteilt, wie sie im Untergrund-Markt erhältlich sind.” Allerdings gebe es offenbar ausreichend Opfer, die mehrere Jahre alte Schwachstellen ungepatcht ließen.
Bereits 2012 hatte sich die Malware Shamoon gegen die Energiebranche insbesondere im Mittleren Osten gerichtet. Sie konnte 30.000 Rechner eines Ölunternehmens aus Saudi-Arabien lahmlegen. Das übliche Vorgehen von Shamoon ist es, erst Daten zu stehlen und dann Dateien wie Dokumente, Bilder und Videos von betroffenen Rechnern mit einem Bild zu überschreiben. Gleiches führt es anschließend für den Master Boot Record aus – also das Inhaltsverzeichnis des Speichermediums und somit eine systemrelevante Datei. Danach ist es nicht mehr möglich, den betroffenen Rechner zu starten.
Kaspersky nannte Shamoon allerdings später “das Werk talentierter Amateure”. Es warf den Autoren des Schadprogramms “dumme Fehler” vor, etwa einen fehlerhaften Datumsabgleich und das Ersetzen von Kleinbuchstaben durch Großbuchstaben.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Fraunhofer-Forschende arbeiten an einer Webplattform, die die Lebensqualität von Menschen mit Parkinson verbessern soll.
Mit gemeinsamen Angeboten in den Bereichen Vermarktung, KI, Content und Cloud will man "unabhängigen Journalismus…
Bereits seit einigen Jahren führt die RGF Staffing Germany Schulungen durch, um die eigenen Mitarbeiter…
Das Europäische Forschungsprojekt XMANAI hat den Blick in die KI geöffnet und macht ihre Entscheidungsprozesse…
Hacker nutzen LLM weniger als visionäre Alleskönner-Technologien, sondern als effiziente Werkzeuge zum Verbessern von Standardangriffen,…
Der "ARIS AI Companion" soll alle Mitarbeitenden darin befähigen, Prozesse zu analysieren und Ineffizienzen aufzudecken.