Spionage-Trojaner greift Ziele in Israel und Iran an
Madi wurde zuerst von Seculert entdeckt und ist als Kampagne zum Eindringen in Computernetzwerke angelegt. Dabei wird ein Trojaner über Social-Engineering-Tricks an sorgfältig ausgewählte Ziele verbreitet. In einer gemeinsamen Sinkhole-Operation konnten die Partner dann die Command-and-Control-Server (C&C) von Madi untergraben und so Erkenntnisse zur Cyberspionage-Kampagne gewinnen.
Die beiden Unternehmen haben dabei nach eigenen Angaben mehr als 800 Opfer identifiziert, die sich in den letzten acht Monaten im Iran, in Israel und ausgewählten Ländern auf der ganzen Welt mit den C&C-Servern von Madi verbunden haben. Die Sinkhole-Aktion legte auch die Angriffsziele offen: So scheinen die Opfer vor allem Geschäftsleute, die im Iran und in Israel an kritischen Infrastruktur-Projekten arbeiteten sowie israelische Finanzinstitutionen, Ingenieur-Studenten und verschiedene Regierungsabteilungen aus dem Nahen Osten gewesen zu sein.
Darüber hinaus ergab die Untersuchung des Schadprogramms einen ungewöhnlich hohen Anteil an religiösen und politischen Ablenkungs-Dokumenten und -Bildern, die während der Infektion genutzt wurden. "Auch wenn die Malware selbst und deren Infrastruktur im Vergleich zu ähnlichen Projekten sehr einfach erscheint, konnten die Madi-Angreifer damit eine nachhaltige Überwachung profilierter Opfer durchführen", so Nicolas Brulez, Senior Malware Researcher bei Kaspersky Lab. "Vielleicht half der amateurhafte und rudimentäre Ansatz sogar, einer Entdeckung zu entgehen."
"Unsere gemeinsame Analyse hat ergeben, dass sowohl Malware als auch die C&C-Tools mit zahlreichen persischen Strings übersät war, was bei Schadcode an sich ungewöhnlich ist. Die Angreifer hatten zweifelsfrei entsprechende Sprachkenntnisse", so Aviv Raff, Chief Technology Officer bei Seculert.
Mithilfe des Madi-Trojaners können Angreifer aus der Ferne sensible Dateien von infizierten Windows-Systemen stehlen, sensible Kommunikationskanäle wie E-Mail und Instant-Messaging einsehen, Audiodaten mitschneiden, Tastaturanschläge registrierten sowie Screenshots erstellen. Eine weitere Analyse hat ergeben, dass mehrere Gigabyte an Daten von infizierten Rechnern hochgeladen wurden.
Die Angreifer konnten mit Hilfe der so gewonnenen Daten weit verbreitete Anwendungen und Webseiten wie GMail, Hotmail, Yahoo Mail, ICQ, Skype, Google+ und Facebook ausspionieren. Zudem wurden integrierte ERP- und CRM-Systeme, Geschäftskontakte sowie Finanzmanagementsysteme überwacht, teilten die Firmen mit.
Die beiden Unternehmen haben dabei nach eigenen Angaben mehr als 800 Opfer identifiziert, die sich in den letzten acht Monaten im Iran, in Israel und ausgewählten Ländern auf der ganzen Welt mit den C&C-Servern von Madi verbunden haben. Die Sinkhole-Aktion legte auch die Angriffsziele offen: So scheinen die Opfer vor allem Geschäftsleute, die im Iran und in Israel an kritischen Infrastruktur-Projekten arbeiteten sowie israelische Finanzinstitutionen, Ingenieur-Studenten und verschiedene Regierungsabteilungen aus dem Nahen Osten gewesen zu sein.
Darüber hinaus ergab die Untersuchung des Schadprogramms einen ungewöhnlich hohen Anteil an religiösen und politischen Ablenkungs-Dokumenten und -Bildern, die während der Infektion genutzt wurden. "Auch wenn die Malware selbst und deren Infrastruktur im Vergleich zu ähnlichen Projekten sehr einfach erscheint, konnten die Madi-Angreifer damit eine nachhaltige Überwachung profilierter Opfer durchführen", so Nicolas Brulez, Senior Malware Researcher bei Kaspersky Lab. "Vielleicht half der amateurhafte und rudimentäre Ansatz sogar, einer Entdeckung zu entgehen."
"Unsere gemeinsame Analyse hat ergeben, dass sowohl Malware als auch die C&C-Tools mit zahlreichen persischen Strings übersät war, was bei Schadcode an sich ungewöhnlich ist. Die Angreifer hatten zweifelsfrei entsprechende Sprachkenntnisse", so Aviv Raff, Chief Technology Officer bei Seculert.
Mithilfe des Madi-Trojaners können Angreifer aus der Ferne sensible Dateien von infizierten Windows-Systemen stehlen, sensible Kommunikationskanäle wie E-Mail und Instant-Messaging einsehen, Audiodaten mitschneiden, Tastaturanschläge registrierten sowie Screenshots erstellen. Eine weitere Analyse hat ergeben, dass mehrere Gigabyte an Daten von infizierten Rechnern hochgeladen wurden.
Die Angreifer konnten mit Hilfe der so gewonnenen Daten weit verbreitete Anwendungen und Webseiten wie GMail, Hotmail, Yahoo Mail, ICQ, Skype, Google+ und Facebook ausspionieren. Zudem wurden integrierte ERP- und CRM-Systeme, Geschäftskontakte sowie Finanzmanagementsysteme überwacht, teilten die Firmen mit.
Thema:
Beliebte Downloads
Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr 
Zeskris 2m HDMI 2.1 Kabel, 8K 48Gbps Ultra High Speed HDMI geflochtenes Kabel, 4K@120Hz 144Hz 8K@60Hz eARC HDR 10 Hdcp 2.2 2.3 HDMI Kabel für Laptop, Monitor, PS5, PS4, Xbox One, 8K UHD TV
Zeskris 2m HDMI 2.1 Kabel, 8K 48Gbps Ultra High Speed HDMI geflochtenes Kabel, 4K@120Hz 144Hz 8K@60Hz eARC HDR 10 Hdcp 2.2 2.3 HDMI Kabel für Laptop, Monitor, PS5, PS4, Xbox One, 8K UHD TV Original Amazon-Preis
6,99 €
Blitzangebot-Preis
5,59 €
Ersparnis zu Amazon 20% oder 1,40 €
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Folgt uns auf Twitter
Meist kommentierte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen