Syrien-Konflikt: Gezielte Angriffe über DarkComet auf Oppositionelle

Originalartikel von Kevin Stevens und Nart Villeneuve, Senior Threat Researchers

Im aktuellen Syrien-Konflikt hat das Internet eine nicht unerhebliche Rolle gespielt. Die Opposition nutzte Plattformen wie Facebook für ihre Organisation und zur Verbreitung ihrer Nachrichten. Als Reaktion versuchten regimetreue Gruppen wie die Syrian Electronic Army, Websites zu blocken und Facebook-Seiten mit Spam zuzumüllen. Aktuelle Berichte nun zeigen eine neue Dimension dieser Aktivitäten auf und sprechen von gezielten Malware-Angriffen gegen die Sympathisanten der Opposition.

Dark Comet RAT als “syrische Spyware” eingesetzt
Die dabei verwendete Schädlingssoftware verbreitet sich über Skype-Chats. Sobald ein Nutzer den Schädling ausführt, verbindet er sich mit einem Command & Control-Server in Syrien unter BLOCKED}.{BLOCKED}.0.28, der zu einem IP-Bereich des Syrian Telecommunications Establishments gehört. Der Schädling, der als „komplex“ und „unsichtbar“ beschrieben wurde, gehört nach Erkenntnissen der Sicherheitsforscher von Telecomix zu dem weitverbreiteten Remote Access Trojan (RAT) DarkComet. Trend Micro-Analysen einiger Muster ergaben die Versionen 3.3 und 5 des Schädlings. Einige der Muster sind „Downloader“, die über HTTP Verbindung zu derselben IP-Adresse aufnehmen und eine verschlüsselte Update.bin-Datei herunterladen, die danach entschlüsselt und ausgeführt wird – die Payload des DarkComet RAT.

Dabei handelt es sich um einen vollständigen RAT, der über eine Webcam Bilder machen kann, über ein an einen PC angeschlossenes Mikrofon Gespräche mithört und die Kontrolle über die infizierte Maschine übernimmt. Die für die Täter wichtigste Funktion aber ist das Keylogging und die Möglichkeit der Dateiübertragung. Auf diese Weise können die Angreifer jede Datei auf die infizierte Maschine laden und auch Dokumente stehlen.
DarkComet befindet sich noch in der Weiterentwicklung, und die Version 5 gibt es erst seit dem 15. Januar. Nach der Veröffentlichung der Berichte über dessen Verwendung in Syrien hat der Autor des RAT sein Bedauern darüber ausgedrückt und erklärt, er werde einen DarkComet-Detector und –Remover den Oppositionellen in Syrien zur Verfügung stellen.

Muster 1: Direktes DarkComet Download

Die Malware mit einem Facebook-Icon, von der der CNN-Artikel spricht, wurde wie bereits erwähnt über Skype verbreitet. Trend Micro hat das Muster als BKDR_ZAPCHAST.SG identifiziert. Diese Version 5 verbindet sich mit {BLOCKED}.{BLOCKED}.0.28 über Port 885. Während der Tests konnten die Forscher den Verkehr von der Testmaschine auf eine andere umleiten, die den DarkComet5-Client enthielt. Auf diese Weise waren die Forscher in der Lage, die volle Kontrolle über die Testmaschine zu erlangen.

Muster 2: die zweite Phase von DarkComet

Ein weiteres Muster verhielt sich anders. Das ursprüngliche Executable, BKDR_BREUT.A, hinterlegt zwei ausführbare Dateien. Die erste davon, zeigt sich dem infizierten Nutzer als Mac Address Changer Tool.

Dies scheint ein einfacher Köder zu sein, denn zur gleichen Zeit verbindet sich die zweite ausführbare Datei mit {BLOCKED}.6{BLOCKED}.0.28 und lädt eine weitere Datei herunter.

Dabei handelt es sich um eine frühere Version von DarkComet (3.3), die sich mit {BLOCKED}.{BLOCKED}.0.28 über Port 778 verbindet. Auch in diesem Fall leiteten die Forscher den Netzverkehr von der Testmaschine auf eine weitere um und konnten diese nun kontrollieren.

Bislang haben die Sicherheitsforscher zehn Muster analysiert, die alle Verbindung zu derselben IP-Adresse aufnahmen. Während einige sich als Downloader entpuppten, die verschiedene Köder auf dem Bildschirm anzeigten, besteht die tatsächliche Payload aus dem DarkComet RAT in der Version 3.3 oder 5.
Dies zeigt, dass die gezielten Angriffe mit weitverbreiteten Do-it-yourself Malware-Tools ausgeführt werden können.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*