Kjw0rm VBS-Schadsoftware im Zusammenhang mit den Angriffen auf TV5Monde

Originalartikel von Trend Micro

Trend Micro hat eine Schadsoftware im Zusammenhang mit dem Cyberangriff in Frankreich als Variante des Remote Access Trojan (RAT) NJWORM/Kjw0rm identifiziert. VBS_KJWORM.SMA (MD5-Hash 2962c44ce678d6ca1246f5ead67d115a) ist ein Hintertürschädling, der wahrscheinlich seit 2014 im Umlauf ist.

Zusammenhänge mit früheren Angriffen

Die Analyse zeigte, dass VBS_KJWORM.SMA mit einem Hacking-Tool namens Sec-wOrm 1.2 Fixed vBS Controller erstellt wurde. Dabei handelt es sich um einen RAT-Generator HKTL_KJWORM. Die Kjw0rm-Familie ist den Bedrohungsforschern von Trend Micro bereits bekannt. KJOWRM wurde in dem arabischsprachigen Abschnitt von dev-point.com gefunden.



Bild 1. Beispiel-Screenshot des RAT-Generators “Sec-wOrm 1.2 Fixed vBS Controller” (Dank an das Dev4dz-Forum)

Aus den Daten des Trend Micro™ Smart Protection Networks geht hervor, dass VBS_KJWORM.SMA in der letzten Woche in mindestens 12 Ländern, darunter Südafrika und Indien, beobachtet wurde. Das ist nicht ungewöhnlich, denn die Schadsoftware ist in Untergrundforen erhältlich, und jeder kann sie nutzen. Sie lässt sich als Hintertür in infizierte Systeme einsetzen. Der beim Angriff verwendete C&C-Server steht auch im Zusammenhang mit einem anderen Hintertürschädling BKDR_BLADABINDI.C. Die Recherche des Trend Micro-Teams führte zur Annahme, dass die Akteure hinter Kjw0rm und BLADABINDI dieselben sind.

Weitere Informationen aus dem Smart Protection Network lassen darauf schließen, dass derzeit weitere VBS-Malwarevarianten im Umlauf sind. Es wurden vier separate C&C-Server (verschieden von denen für NJWORM eingesetzten) gefunden. Diese verschiedenen Samples wiederum stehen in Verbindung zu früheren NJRAT/JENXCUS-Angriffen. NJRAT wurde in Verbindung gebracht mit DUNIHI-Angriffen in Lateinamerika.

Der Cyberangriff auf TV5Monde

Die massive Cyberattacke auf das französische TV5Monde-Netzwerk begann Berichten zufolge am 9. April um etwa 10 Uhr morgens, als sich elf der Kanäle abschalteten. Auch die Website, E-Mail und Social Media des Fernsehnetzwerks wurden angegriffen. Auf der Facebook-Seite wurden Botschaften gegen Frankreich und die USA sowie Drohungen gegen Familine von französischen Soldaten gepostet. Auch Kopien von IDs und Pässen von französischen Soldaten wurden dort veröffentlicht.

Der technische Hintergrund dieses Angriffs ist noch nicht klar. Doch der RAT-Generator ist in verschiedenen Hackerforen erhältlich, und die Anwendung erfordert nicht viel technisches Wissen.

Trend Micro-Lösungen

Trend Micro erkennt die gesamte relevante Schadsoftware auf Endpunktebene. Auch blockieren die Produkte die Verbindungen zu C&C-Servern für diese Malware.

Auf Netzwerkebene ist Trend Micro in der Lage, diese Bedrohungen zu erkennen. Trend Micro Deep Discovery kann VBS-basierte Schadsoftware erkennen und liefert zusätzlichen Schutz für Organisationen gegen diese Art von Angriffen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*