Hacker verstecken Malware in großen Blöcken von Junk-Code

Eine von der russischen Regierung unterstützte Hackergruppe, die mit dem Supply-Chain-Angriff auf SolarWinds in Verbindung gebracht wird, hat eine neue Malware entwickelt. Sie wird für Angriffe auf Unternehmen und Regierungen in Nordamerika und Europa verwendet. Ziel der Kampagne ist es, heimlich Netzwerke zu kompromittieren, Informationen zu stehlen und die Grundlagen für künftige Angriffe zu schaffen.

Die Angriffe umfassen auch die Kompromittierung mehrerer Cloud- und Managed-Service-Provider als Teil einer Kampagne, die es den Hackern ermöglichen soll, sich im Rahmen von Lieferkettenangriffen Zugang zu Kunden zu verschaffen, die den Anbietern untergeordnet sind.

Die weitreichende Kampagne wurde von den Cybersecurity-Forschern von Mandiant detailliert untersucht. Sie beinhaltet den Einsatz eines speziell entwickelten Malware-Downloaders, den die Forscher Ceeloader nennen.

Die in der Programmiersprache C geschriebene Malware entschlüsselt Shellcode-Nutzdaten, die im Speicher des Windows-Rechners des Opfers ausgeführt werden und die Verbreitung weiterer Malware ermöglichen. Ceeloader versteckt sich vor der Entdeckung durch große Blöcke von Junk-Code, der den bösartigen Code für Antiviren-Software unauffindbar macht.

„Ein Obfuscation-Tool wurde benutzt, um den Code in Ceeloader zwischen großen Blöcken von Junk-Code mit sinnlosen Aufrufen der Windows-API zu verstecken. Die sinnvollen Aufrufe der Windows-API sind in verschleierten Wrapper-Funktionen versteckt, die den Namen der API entschlüsseln und ihn vor dem Aufruf dynamisch auflösen“, heißt es in dem Bericht. Unklar ist derzeit noch, wie Ceeloader verbreitet wird.