ESET Forscher analysieren neue Version der Carbon Backdoor
Seit geraumer Zeit attackiert die Cyberspionage-Gruppe, die hinter der Turla-Kampagne steckt, immer wieder hochrangige Institutionen in Europa und den USA. Malware Forscher des europäischen Security-Software-Herstellers ESET haben jetzt eine neue Version der Backdoor Carbon entdeckt, die zur Grundausrüstung der Turla-Gruppe gehört. Die Ergebnisse der Analyse präsentiert ESET in einem ausführlichen Bericht.
Malware wird stetig weiterentwickelt
Die Turla-Gruppe entwickelt ihre Malware konstant weiter: In den drei Jahren Entwicklungszeit von Carbon konnten ESET Forscher bis dato acht aktive Versionen identifizieren. Zudem geht die Gruppe bei ihren Angriffen sehr umsichtig vor. Zunächst werden die Systeme potenzieller Opfer ausspioniert, bevor ausgefeilte Tools wie Carbon zum Einsatz kommen.
Die Kompromittierung erfolgt entweder über eine Spear-Phishing-E-Mail oder den Besuch einer zuvor kompromittierten Webseite, welche die Nutzernormalerweise häufiger aufrufen (sogenannte „Watering-Hole-Attacken“). Nach einer erfolgreichen Attacke wird eine First Stage Backdoor wie Tavdig oder Skipper auf dem Computer des Opfers installiert. Sobald die Aufklärungsphase abgeschlossen ist, wird die Second Stage Backdoor Carbon implementiert.
Parallelen zu anderen Turla Tools
„Carbon zeigt einige Parallelen zu einem anderen Tool der Turla-Malware, dem Rootkit Uroburos. Die größte Ähnlichkeit liegt im Kommunikations-Framework. Die Implementierung der Kommunikationsobjekte findet ähnlich statt, die Struktur und die virtuellen Tabellen sehen identisch aus. Einzige Ausnahme: Carbon verfügt über weniger Kommunikationskanäle“, so die Analyse.
Die vollständige technische Analyse von Carbon finden Sie auf dem Blog WeLiveSecurity von ESET unter https://www.welivesecurity.com/deutsch/2017/03/30/neues-backdoor-turla-carbon-malware/