Kaspersky Lab und CrySys Lab haben neue Details zur Malware „Miniduke“ veröffentlicht, die für Angriffe auf Regierungseinrichtungen und Behörden in mehreren europäischen Ländern genutzt wurde. Der Schädling setzte nicht nur manipulierte PDF-Dateien ein, um sich zu verbreiten, sondern auch bekannte Sicherheitslücken in Java und Microsofts Internet Explorer 8.
„Bei der Untersuchung des Befehlsservers von Miniduke haben wir Dateien gefunden, die keinen Bezug zum Code des Servers hatten“, schreibt Kaspersky-Lab-Experte Igor Soumenkov in einem Blogeintrag. „Es scheint, als seien sie vorbereitet worden, um Besucher mit webbasierten Schwachstellen zu infizieren.“ Dabei hätten sich die Hintermänner der Methode bedient, Frames in legitimen Websites mit Schadcode zu präparieren.
Der dabei eingesetzte Java-Exploit richtet sich Kaspersky zufolge gegen eine von Oracle am 13. Januar gepatchte Zero-Day-Lücke. Der Schadcode ähnele dem Code, der zuvor im Exploit-Kit Metasploit veröffentlicht worden sei. Er sei leicht geändert worden, um eine Erkennung zu erschweren. Das schädliche Java-Applet selbst hätten die Hacker am 11. Februar auf ihren Server geladen.
Für den Angriff auf Nutzer des Internet Explorer 8 verwendeten die Hintermänner von Miniduke eine Ende Dezember 2012 entdeckte Zero-Day-Lücke, für die seit dem 29. Dezember Beispielcode zur Verfügung stand. Microsoft stopfte das Loch am 14. Januar 2013, was die Hacker nicht davon abhielt, den von ihnen entwickelten Schadcode zur Verbreitung von Miniduke ebenfalls am 11. Februar auf ihre Server zu laden.
„Wir haben zwei zuvor unbekannte Angriffsmöglichkeiten entdeckt und analysiert. Auch wenn die Exploits zum Zeitpunkt der Attacken schon bekannt und dokumentiert waren, waren sie doch sehr aktuell und könnten gegen bestimmte Ziele funktioniert haben“, heißt es weiter in dem Blogeintrag. Um sich gegen Miniduke-Angriffe zu schützen, sei es wichtig, Windows, Java und Adobe Reader auf die neuesten Versionen zu aktualisieren. „Natürlich ist es möglich, dass weitere unbekannte Infektionswege existieren. Wir werden die Lage weiter überwachen.“
Kaspersky Lab und CrySys Lab hatten sich erstmals Ende Februar zu Miniduke geäußert. Das Schadprogramm ist in der Lage, Hintertüren auf einem infizierten System zu öffnen, um Dateien zu verschieben, zu entfernen oder auch neue Verzeichnisse anzulegen. Unter anderem wurde es in der Ukraine, Belgien, Portugal, Tschechien, Irland und Rumänien gesichtet.
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…
Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.
Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…
