Categories: CyberkriminalitätSicherheit

Hackergruppe DarkHydrus verbreitet Trojaner per Google Drive

Die Hackergruppe DarkHydrus, die von Kaspersky Lab auch als Lazy Meerkat bezeichnet wird, geht derzeit offenbar gegen politische Ziele im Mittleren Osten vor. Das hat eine Analyse von Forschern von 360 Threat Intelligence ergeben. Demnach läuft die neue Kampagne, bei der auch Googles Cloud-Speicher Drive zum Einsatz kommt, mindestens seit Anfang Januar.

Am 9. Januar entdeckten die Forscher eine gefährliche Excel-Tabelle. Das in Arabisch verfasste Dokument enthielt ein VBA-Macro, das beim Öffnen der Datei ausgeeführt wird. Es legt eine Textdatei in einem temporären Verzeichnis ab und nutzt das Windows-TERegistry-Tool regsvr32.exe, um die Textdatei zu verarbeiten. Dadurch wird wiederum ein PowerShell-Skript erzeugt, das Base64-Inhalt entpackt um eine Datei namens OfficeUpdateService.exe zu starten. Dabei handelt es sich um eine in C# geschriebene Backdoor.

Bei der Backdoor handelt es sich um eine Variante des Trojaners RogueRobin. Er legt Einträge in der Registrierungsdatenbank an, um sich dauerhaft einzunisten. Zudem nutzt er verschiedene Techniken, um einer Entfernung zu entgehen. Unter anderem kann er virtuelle Maschinen und Sandboxes erkennen. Zudem fanden die Forscher speziellen Anti-Debug-Code.

Forscher von Palo Alto Networks, die sich ebenfalls mit der neuen Variante von RogueRobin beschäftigt haben, fanden heraus, dass es der Trojaner auf Systemdaten wie Hostnamen abgesehen hat, die an einen Befehlsserver im Internet geschickt werden. Dafür wird ein DNS-Tunnel benötigt. Steht dieser nicht zur Verfügung, kommt Google Drive als alternative Lösung zur Speicherung von Dateien zum Einsatz.

Die Hacker sind mindestens seit 2017 mit mehreren Kampagnen aufgefallen, um Anmeldedaten zu stehlen. Meistens kommen dabei Spear-Phishing-E-Mails zum Einsatz, die Nutzer dazu verleiten sollen, ihre Daten in gefälschte Formulare einzugeben, von wo aus sie auf von den Hackern kontrollierten Servern landen. Die schädlichen Dokumente sollen die Hacker unter anderem mithilfe von Open-Source-Phishing-Tools erstellen.

ANZEIGE

Die Cloud in kleinen Contact Centern: die Stunde der Wahrheit

Für viele Unternehmen ist noch immer unklar, welche Vorteile ein cloudbasiertes Contact Center bietet. Dieses E-Book von Genesys löst die Mythen rund um Cloud Contact Center auf.

Jetzt kostenlos herunterladen
Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Share
Published by
Stefan Beiersmann
Tags: CybercrimeExcelHacker
6 Jahren ago

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

5 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

9 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

10 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

11 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

11 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

13 Stunden ago