:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Turla/Snake Outlook Backdoor Outlook Backdoor durch PDF-Anhänge in Mails steuerbar
ESET-Forscher haben eine Backdoor der Advanced Persistent Threat (APT)-Gruppe Turla – auch bekannt als Snake oder Uroboros – untersucht. Damit wurde Behörden-Kommunikation in mindestens drei europäischen Ländern ausspioniert. Die Cyberkriminellen platzierten die Hintertür schon vor geraumer Zeit. Die neueren Versionen dieser Malware haben Outlook ins Visier genommen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Unter den Opfern der Turla-Backdoor befindet sich auch das Deutsche Auswärtige Amt. Dort gelang es Turla/Snake, die Hintertür gleich auf mehreren Computern einzuschleusen. Fast über den gesamten Zeitraum von 2017 gelang es ihnen, sensible Daten zu stehlen. Die Turla/Snake-Operatoren kompromittierten zunächst eine Lernplattform der Hochschule des Bundes für öffentliche Verwaltung. Diese benutzten sie als Sprungbrett, um im März 2017 in das Netzwerk des Auswärtigen Amtes zu gelangen. Erst als sich das Jahr 2017 dem Ende entgegen neigte, wurde die Sicherheitslücke gefunden. Die breite Öffentlichkeit erfuhr davon im März 2018.
Die Untersuchungen der ESET-Forscher ergaben, dass es neben dem Deutschen Auswärtigen Amt noch zwei weitere EU-Staaten betroffen sind. Die Turla/Snake-Kriminellen setzten die gleiche Backdoor ein, um versteckte Zugangskanäle zu den Ämtern zu öffnen. Außerdem geriet auch ein Netzwerk eines großen Rüstungskonzerns ins Visier. Diese drei erweitern die Liste der Opfer der Turla/Snake APT-Gruppe, die zuvor schon Regierungen, Staatsbeamte, Diplomaten und Militärbehörden seit mindestens 2008 attackierte.
Das Turla/Snake Outlook Backdoor unter der Lupe
Die Hintertür hat seit der Erschaffung bereits eine lange Reise hinter sich – sie reicht zurück bis ins Jahr 2009. Über die Jahre fügten die Turla/Snake-Entwickler dem Tool immer mehr Funktionen hinzu und ein selten gesehenes Maß an Stealth-Technik und Resilienz. Die neuentdeckte Version vom April 2018 besitzt die Fähigkeit, schädliche Windows PowerShell Scripts direkt im Computer-Speicher auszuführen. Dieser Taktik bedienten sich immer mehr Cyberkriminelle in den letzten Jahren.
Die neueren Backdoor-Versionen haben Microsoft Outlook ins Visier genommen. Ältere Versionen kompromittierten auch den The Bat! E-Mail-Client, welcher vorwiegend in den osteuropäischen Staaten eingesetzt wird. Die Turla/Snake-Gang nutzte keine Schwachstellen in PDF Readern oder in Microsoft Outlook als Angriffsvektor aus. Üblicherweise untergrub die Backdoor Outlooks Schnittstelle Messaging Application Programming Interface (MAPI) um Zugang zu den Postfächern der Opfer zu erhalten.
Die Cyberkriminellen verzichten auf eine bei Botnetzen übliche, konventionelle Command-and-Control (C&C) Infrastruktur via HTTP(S). Stattdessen kommunizieren sie mit dem Zielrechner mit Hilfe von E-Mails – genauer gesagt durch speziell entwickelte PDF-Dateien im E-Mail-Anhang. Damit kann die kompromittierte Maschine veranlasst werden, eine Reihe von Kommandos auszuführen. Für Turla/Snake dürften dabei das Abfangen von Daten, das downloaden externer Daten und das Ausführen zusätzlicher Programme und Funktionen von entscheidender Bedeutung sein. Das Abführen von Daten geschieht auch über PDF-Files.
Die Backdoor kommt in Form eines Dynamic Link Library (DLL) Moduls und kann an einer beliebigen Stelle der Festplatte abgelegt werden. Es installiert sich durch das Windows Utility RegSvr32.exe und erlangt seine Persistenz durch einen manipulativen Eingriff in die Windows Registry. In unserem Fall hält sich Turla/Snake an die bewährte Methode, die den Namen „COM Object Hijacking” trägt. Damit gewährleisten die Cyberkriminellen, dass bei jedem Start von Microsoft Outlook auch die Backdoor startet.
Die Funktionsweise der Turla Outlook Backdoor
Wann immer ein Opfer eine E-Mail-Nachricht empfängt oder verschickt, erzeugt die Malware eine Log-Datei mit Meta-Daten über die Nachricht. Darin befinden sich Informationen über den Absender, den Empfänger, die Betreffzeile, Namen von Anhängen und mehr. Regelmäßig werden die Logs gebündelt in einem speziellen PDF-Dokument gebündelt und zu den Turla/Snake Operatoren via E-Mail geschickt.
Die Backdoor überprüft jede eingehende E-Mail auf einen Anhang. Sie untersucht, ob sich in möglicherweise angehangenen PDF-Dokumenten Kommandobefehle befinden. Die Hintertür kann theoretisch von jeder E-Mail-Adresse verwendet werden. Der Angreifer muss „nur“ die Bedeutung der Kommandos kennen und sie in ein PDF-Dokument umwandeln. Das bedeutet, dass die Turla Operatoren auch dann die Kontrolle über die Hintertür behalten, wenn eine ihrer einprogrammierten – aber aktualisierbaren – E-Mail-Adressen geblockt werden sollte. Damit ist die Widerstandsfähigkeit fast auf einer Stufe mit der eines Rootkits, das den eingehenden Netzwerk-Traffic scannt und auf Befehle der Operatoren wartet.
Auch wenn die ESET-Forscher bisher noch kein Sample eines PDF-Dokuments mit Befehlen für die Backdoor gesichtet haben, ist es mit dem Wissen darüber, gelungen, selbst ein PDF-Dokument zu erzeugen, das die Backdoor interpretieren und ausführen kann (siehe Bild links).
Die Malware geht im Allgemeinen sehr weit, um sich auf kompromittierten Rechnern quasi unsichtbar zu machen. Beispielsweise ist es zwar für ein paar Sekunden möglich, einen kurzen Blick auf die ungelesene E-Mail zu erhaschen. Allerdings werden keine von den Angreifern empfangenen Mails jemals im Posteingang auftauchen. In ähnlicher Weise blockieren die Turla/Snake Operatoren auch die Benachrichtigung der eingegangenen bösartigen E-Mail-Nachricht.
Fazit über die Turla Outlook Backdoor
Ein weiteres Mal können die ESET-Forscher den Einfallsreichtum der Turla-Gang dokumentieren – wie sie ihre Ziele erreichen und trotzdem unentdeckt bleiben wollen. Wie schon die Analysen über die Turla-Backdoor Gazer und die Kampagnen gegen osteuropäische Diplomaten zeigten, verfolgt die Gruppe weiterhin den Einsatz von ausgereiften Methoden, um Ziele auszuspionieren und Malware-Persistenz auf ausgewählten Computern zu erreichen.
(ID:45470063)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945948/original.jpg "Die Malware Emotet ist mit ganzer Kraft wieder da (Alexander Limbach - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923668/original.jpg "Bei rein digitalem Kontakt, auch zu bekannten Personen und Kollegen, ist erhöhte Vorsicht geboten, weshalb Nutzer alle Links – auch solche von legitimen Absendern – immer mit Vorsicht behandeln sollten. (gemeinfrei)")