Jena, 14. Mai 2020 – ESET- und Avast-Forscher haben ihr Know-how gebündelt, um ein weit verbreitetes und sich ständig weiterentwickelndes Remote Access Tool (RAT) mit integrierter Backdoor-Funktionalität zu erforschen. ESET bezeichnet diese Malware als Mikroceen. In der gemeinsamen Analyse stellen die Forscher fest, dass Mikroceen bei Spionageangriffen gegen Regierungen und Unternehmen (aus der Telekommunikations- und Gasindustrie) in Zentralasien eingesetzt wird.
Die Angreifer konnten langfristig auf betroffene Netzwerke zugreifen, Dateien bearbeiten und Screenshots machen. Die Angreifer konnten auf den infizierten Devices verschiedene Kommandos ausführen können, die von Command- und Control-Servern ferngesteuert wurden.
Die Forscher untersuchten die manuelle Implementierung des Client-Server-Modells von Mikroceen, das speziell für Cyberspionage entwickelt wurde. „Die Malware-Entwickler haben große Anstrengungen unternommen, um die Client-Server-Verbindung mit ihren Opfern sicherzustellen. Ihre Malware wurde „in the wild“ eingesetzt. Den Tätern gelang es in hochkarätige Unternehmensnetzwerke einzudringen. Wir haben auch gesehen, dass ein größeres Angriffs-Tool verwendet und ständig weiterentwickelt wurde, hauptsächlich wurden jeweils verschiedene Verschleierungstechniken implementiert“, kommentiert Peter Kálnai, der den ESET-Zweig des gemeinsamen Forschungsteams leitete.
Mikroceen wird nach Einschätzung der Analysten ständig weiterentwickelt. Das Forscherteam hat herausgefunden, dass es seit Ende 2017 mit Backdoor-Fähigkeiten bei verschiedenen gezielten Angriffen eingesetzt wurde. Unter den Werkzeugen, die von den Angreifern benutzt werden, um sich innerhalb der infiltrierten Netzwerke zu bewegen, identifizierten die ESET- und Avast-Forscher auch Gh0st RAT, ein älteres, aber berüchtigtes RAT, das seit 2008 im Einsatz ist.
Die detaillierte Analyse gibt es auf Welivesecurity:
https://www.welivesecurity.com/2020/05/14/mikroceen-spying-backdoor-high-profile-networks-central-asia/