ESET-Forscher haben das erste UEFI-Rootkit in freier Wildbahn entdeckt. Das Forschungsteam tauften die Sednit-Malware LoJax. Ihr Einsatz ist gegen Regierungsorganisationen des Balkans sowie Mittel- und Osteuropa konzipiert. Die Sednit-Gruppe ist eine trickreiche APT-Gruppe, die sich gegen Menschen und Organisationen auf der ganzen Welt richtet. Sie ist seit mindestens 2004 aktiv und verwendet eine Vielzahl von Malware-Familien.

Die berüchtigte Turla E-Spionage Gruppe, die auch unter dem Namen Snake bekannt ist, kompromittierte schon einige Netzwerke – auch auf nationaler Ebene. Unter den immer wieder anvisierten Zielen befinden sich neben Regierungen auch Staatsbeamte, Diplomaten und Militäreinrichtungen. Aufsehen erregte Turla besonders mit Angriffen auf das finnische Außenministerium im Jahr 2013 sowie das Schweizer Militärunternehmen RUAG zwischen den Jahren 2014 und 2016. Zuletzt attackierten die Cyberkriminellen auch deutsche Regierungsnetze, wie dieses Jahr im März publik wurde.

Wer lieber eine kurze Zusammenfassung lesen möchte, sollte sich unseren Blog-Beitrag Turla/Snake: Outlook Backdoor durch PDF-Anhänge in Mails steuerbar ansehen.

In diesem Artikel soll diskutiert werden, wie nützlich ML sich bereits seit Jahren im
Bereich der Malware-Erkennung erwiesen hat und dass Künstliche Intelligenz im
tatsächlichen Wortsinn so nicht existiert. Die Marketingtricks der Next-Gen-Anbieter
sorgen lediglich dafür, dass sich die Dinge für Entscheider ungleich komplexer
darstellen und es umso schwieriger erscheint, eine widerstandsfähige IT-Security
aufzubauen – die jedoch gerade in Zeiten zunehmender Gefahr umso wichtiger ist.

1. ABOUT THE INTERNET OF THINGS
2. THE SMART HOME
3. THE PRIVACY POLICY AND DATA CAPTURE
4. VULNERABLE DEVICES
5. PRIVACY – THE BIG CONCERN
6. THE IOT DEVICES IN OUR BASIC SMART HOME
7. CONCLUSION – IS IT SAFE?

Turla ist eine berüchtigte Cyberspionage-Gruppe, die seit Jahren Regierungen, Regierungsbeamte und Diplomaten ins Visier nimmt. Obwohl die Hintertür seit mindestens 2016 aktiv eingesetzt wird, ist sie noch nicht dokumentiert – bis jetzt.

Basierend auf untersuchten Zeichenketten aus den analysierten Samples taufen wir diese Hintertür „Gazer“.

Inhaltsübersicht:

• Einleitung
• Zusammenfassung
• Parallelen zu anderen Turla Tools
• maßgeschneiderte Verschlüsselung
• Globale Architektur
  • Loader
  • Logs
  • Working Directory
  • Orchestrator
  • Communication Module
  • Messages between components
• Versionen von Gazer
• IoCs
  • Filenames
  • Registry Keys
  • C&C URLs
  • Mutexes
  • Hashes
• Anhang
  • Function names
  • Yara rules

Seit Anfang des Jahres 2017 leiten die ESET-Forscher eine Untersuchung über eine komplexe Bedrohung, die hauptsächlich in den beiden Ländern Ukraine und Russland auftaucht.

Inhalt

• Zusammenfassung
• Überblick
• FileTour
• Stantinko Installer
• Plugin Downloader Service (PDS)
• Browser Extension Downloader Service (BEDS)
• Linux Trojan Proxy
• Monetization
• Conclusion
• Bibliography

Win32/Industroyer ist ein komplexes Malware-Programm, das die Arbeitsprozesse kritischer Infrastruktursysteme (KRITIS) stört.

Inhalt

• Win32/Industroyer: a new threat for industrial control systems
• Main backdoor
• Additional backdoor
• Launcher component
• 101 payload component
• 104 payload component
• 61850 payload component
• OPC DA payload component
• Data wiper component
• Additional tools: port scanner tool
• Additional tools: DoS tool
• Conclusion
• Indicators of Compromise (IoC)

Jean-Ian Boutin und Matthieu Faou veröffentlichen hier ihr neues Whitepaper über RTM. Die cyberkriminellen Aktivisten attackieren Klienten von Kreditinstituten, um sich selbst zu bereichern. Die in Delphi geschriebene Malware ist seit mindestens 2015 in Benutzung. Ziele werden auf verschiedene ausspioniert – sei es über Keylogger oder Smartcards.

Hier ist eine kurze Inhaltsübersicht über die wichtigsten Punkte im Whitepaper:

1. Targets
2. Infection vectors
   2.1. Is the malware related to Buhtrap?
3. Evolution
   3.1. Versioning
   3.2. Timeline
4. Technical analysis
   4.1. Installation and persistence
   4.3. Network
   4.4. Fingerprint
   4.5 Monitoring
   4.6. Uninstall
   4.7. Config
   4.8. Other functions
5. Conclusion
6. Indicators of Compromise
   6.1. ESET detection names
   6.2. File names
   6.3. Registry indicators
   6.4. Hashes
   6.5. C&C server domain names
   6.6. C&C server IP addresses
   6.7. PDB paths
   6.8. Strings

Ransomware begleitet uns auf Android Geräten nun schon eine Weile. Das Jahr 2016 brachte einige interessante Entwicklungen in der Szene, die wir in unserem Whitepaper einmal genauer beleuchtet haben.

Das Whitepaper untergliedert sich wie folgt:

• SUMMARY
• RANSOMWARE ON ANDROID
  Common infection vectors
  Malware c&c communication
  Malware self-protection
• ANDROID RANSOMWARE CHRONOLOGY
  Android defender
  Ransomware meets fake av, meets…porn
  Police ransomware
  Simplocker
  Simplocker distribution vectors
  Simplocker in English
  Lockerpin
  Lockerpin’s aggressive self–defense
  Jisut
  Charger
• HOW TO KEEP YOUR ANDROID PROTECTED

Das neue ESET Trend und Prognosen 2017 Whitepaper ist da. In dem umfangreichen Whitepaper haben acht ESET Forscher fragen zur zukünftigen Entwicklung der Internet Security erörtert. Der Bericht basiert auf dem konstanten Monitoring der globalen Bedrohungslage und der stetigen Suche nach Mustern. Daraus erkennbare Bedrohungen sollten noch möglichst bevor jemand zu schaden kommt, bekämpft werden. Das neue Paper behandelt hauptsächlich folgende Themen:

• Ransomware of Things
• Aufklärung in Fragen Sicherheit und Verantwortung
• Mobile Security
• Schwachstellen
• Next-Gen Security Software
• Herausforderungen im Gesundheitswesen
• Kritische Infrastrukturen
• Herausforderungen und Ableitungen der Gesetzgebung zum Thema Internet-Sicherheit
• Gaming Plattformen

Dieses Whitepaper zeigt häufig genutzte Angriffsvektoren auf und bietet einen
Leitfaden zum Schutz Ihrer Systeme und Daten im Unternehmen. Durch
die aufgeführten Handlungsoptionen im Falle eines Ransomware-Angriffs
lassen sich die eventuelle Folgen um ein Vielfaches begrenzen.
Zuletzt beantwortet ESET die wichtigste aller Fragen von Ransomware-
Opfern: Soll ich das von den Cyberkriminellen geforderte Lösegeld bezahlen?

Ein neuer und äußerst effektiver Banking-Trojaner wurde entdeckt, der vorrangig aber nicht nur auf Nutzer in der Türkei, der Tschechischen Republik, Portugal und Großbritannien abzielt. Er benutzt unter anderem täuschend echt aussehende Phishing-ähnliche Kampagnen, die mit vertrauenswürdigen Organisationen in Verbindung gebracht werden um ahnungslose Opfer in die Falle zu locken. (Englisch)

Pablo Ramos, Security Researcher in Latein Amerika und sein Team, hat sich die Chronologie einer Skype Attacke etwas näher angeschaut. Sie haben ihre Untersuchung in diesem White Paper umfassend dokumentiert. (Englisch)

Analyse von vier nicht ganz so „fortgeschrittenen“ Angriffen, die in Vietnam und Taiwan ihr Unwesen trieben. (Englisch)

Tiefenanalyse einer groß angelegten Linux-Server seitigen Kampagne zum Stehlen von Zugangsdaten. (Englisch)