Unternehmen im Balkan durch Backdoor & RAT‑Malware bedroht

0
29

Eine anhaltende Malware-Kampagne zielt derzeit auf den Balkan ab. Zwei Tools – eine Backdoor und ein Remote Access Trojaner – bedrohen dort ansässige Unternehmen. Wir gaben den Malware-Tools die Namen BalkanDoor bzw. BalkanRAT.

BalkanRAT ermöglicht Angreifern einen entfernten kompromittierten Computer über eine grafische Oberfläche fernzusteuern. BalkanDoor sorgt für die Fernsteuerung via Kommandozeile. ESET Sicherheitsprodukte erkennen die Cyber-Bedrohungen als Win{32,64}/BalkanRAT und Win32/BalkanDoor.

Bei der Malware-Kampagne setzen die Operatoren auf die Verbreitung von schädlichen E-Mails. Diese verteilen wiederum BalkanRAT und BalkanDoor auf den Rechnern der Opfer. Damit sind die Angreifer in der Lage, die volle Kontrolle über den kompromittierten PC zu erhalten. Durch die ungewöhnliche Zusammenstellung der Tools haben die Cyberkriminellen die Wahl, mithilfe welcher Methode sie Befehle auf dem ferngesteuerten PC ausführen.

Um die Aufmerksamkeit auf die schädlichen Mails zu lenken, entschieden sich die Malware-Operatoren für das Thema Steuern. Alle E-Mails samt Links und PDFs greifen das Thema in irgendeiner Weise auf. Offenbar richten sich die Cyber-Angriffe gegen Finanzabteilungen von Unternehmen im Balkan-Gebiet. Zwar werden Backdoors und RATs gerne für Cyber-Spionage-Zwecke eingesetzt. Dennoch gehen wir davon aus, dass diese Malware-Kampagne finanziell motiviert ist.

Die schädliche Kampagne ist seit mindestens Januar 2016 aktiv. Teilweise informierten serbische Security-Anbieter (2016) und das kroatische CERT (2017) knapp über den damaligen Stand der Malware-Kampagne. Jeder Bericht konzentrierte sich dabei nur auf eine der beiden angesprochenen Malware-Tools sowie auf ein einziges Land. Unsere Analyse stellt hingegen signifikante Überschneidungen dar, sowohl bei den Zielen als auch bei den Taktiken und den technischen Vorgehensweisen der Angreifer.

Unsere Ergebnisse zeigen, wie die Cyber-Angriffe inszeniert wurden und warum wir die Malware-Kampagne als eine langfristig angelegte betrachten.

Die ESET-Forschung warf mehr Licht ins Dunkle der Malware-Kampagne und verdeutlichte die Zusammenhänge. Dabei entdeckte man eine neue BalkanDoor-Version, welche mit neuer Installationsmethode daherkam: dem WinRAR ACE (CVE-2018-20250)-Exploit. Darüber hinaus konnten wir herausfinden, dass man beide Malware-Tools via Zertifikat digital signierte. Eines war sogar zum Zeitpunkt der Erstellung dieses Beitrags noch gültig. Dieses wurde durch SLOW BEER LTD ausgestellt. Nach unserem Hinweis zog die Zertifizierungsstelle das Zertifikat zurück.

Dieser Beitrag beschreibt den Funktionsumfang von BalkanDoor und BalkanRAT. Die Analysen werden zeigen, wie das zuerst genannte Tool als Windows Service läuft, um den Windows Logon Screen ferngesteuert zu deaktivieren – ohne Passwort oder das Starten eines Prozesses mit höchsten Rechten­. Das zweite Tool missbraucht eine sonst legitime Remote Desktop Software (RDS) wie auch andere Tools und Skripte, um sich vor dem User des kompromittierten PCs zu verstecken.

Die Ziele und die Verbreitung der Malware-Kampagne

Sowohl BalkanRAT als auch BalkanDoor verbreiteten sich in Kroatien, Serbien, Montenegro sowie Bosnien und Herzegowina.

nseren Telemetrie-Daten zufolge ist die Kampagne seit mindestens 2016 aktiv – die meisten Erkennungen gab es aber erst gegen Ende des Juli-Monats dieses Jahres.

Die Angreifer haben ihre Tools über böswillige E-Mails („Malspam“) mit Links zu einer böswilligen Datei verbreitet.

Die in den E-Mails enthaltenen Links halfen der Verbreitung von BalkanRAT und BalkanDoor, das sie sonst legitime Webseiten offizieller Einrichtungen nachahmten – wie beispielsweise:

Quelle: eset.de