Sicherheitsexperten haben jetzt aufgedeckt, wie eine Hacker-Gruppe mithilfe von signierten Windows-Treibern mehrere Banken angegriffen und um mehrere Millionen Euro erleichtert haben könnten. Dabei wurden verschiedene Sicherheitsmechanismen außer Kraft gesetzt.
In einem neu veröffentlichten Bericht enthüllen Sicherheitsforscher von Symantec jetzt weitere Details über die Aktivitäten der Hacker-Gruppe Bluebottle, zu denen auch "Opera1er" gehören soll.
Bei Angriffen auf Banken in französischsprachigen Ländern durch Opera1er wurde nach Symantec-Erkenntnissen ein signierter Windows-Treiber verwendet, der wahrscheinlich von einem Bedrohungsakteur stammt, der mehr als 10 Millionen Euro von verschiedenen Banken gestohlen hat.
Sicherheitssoftware abgeschaltet
Der Symantec-Bericht erklärt dabei einige technische Details, die aufhorchen lassen. Dazu gehört die Verwendung des berüchtigten GuLoader-Tools zum Laden von Malware und eines signierten Treibers, mit dessen Hilfe der Angreifer Prozesse für Sicherheitssoftware abschalten kann.
Laut Symantec besteht die Malware aus zwei Komponenten: "einer kontrollierenden DLL, die eine Liste von Prozessen aus einer dritten Datei liest, und einem signierten 'Helfer'-Treiber, der vom ersten Treiber kontrolliert wird und zum Beenden der Prozesse in der Liste verwendet wird." Bluebottle verwendete zudem weitere bösartige Tools Mimikatz zum Extrahieren von Passwörtern, Keylogger zum Aufzeichnen von Tastatureingaben und den Netwire-Trojaner für den Fernzugriff.
Es hat zudem den Anschein, dass der signierte bösartige Treiber von verschiedenen Cyberkriminellen verwendet wurde.
Alle haben sie eines gleich - die verwendeten Signaturen stammen aus dem Windows Hardware Developer Programm und wurden damit also von Microsoft regulär verifiziert. Diese Signaturen als bösartig zu erkennen, ist also nicht leicht. Von diesen Signaturen weiß man spätestens seit letztem Monat, dass sie gestohlen wurden. Es gab aber schon im Sommer 2022 Hinweise auf die entwendeten Zertifikaten, die sich großer Beliebtheit bei Cyberkriminellen erfreuten.
Quelle; winfuture
In einem neu veröffentlichten Bericht enthüllen Sicherheitsforscher von Symantec jetzt weitere Details über die Aktivitäten der Hacker-Gruppe Bluebottle, zu denen auch "Opera1er" gehören soll.
Bei Angriffen auf Banken in französischsprachigen Ländern durch Opera1er wurde nach Symantec-Erkenntnissen ein signierter Windows-Treiber verwendet, der wahrscheinlich von einem Bedrohungsakteur stammt, der mehr als 10 Millionen Euro von verschiedenen Banken gestohlen hat.
Sicherheitssoftware abgeschaltet
Der Symantec-Bericht erklärt dabei einige technische Details, die aufhorchen lassen. Dazu gehört die Verwendung des berüchtigten GuLoader-Tools zum Laden von Malware und eines signierten Treibers, mit dessen Hilfe der Angreifer Prozesse für Sicherheitssoftware abschalten kann.
Laut Symantec besteht die Malware aus zwei Komponenten: "einer kontrollierenden DLL, die eine Liste von Prozessen aus einer dritten Datei liest, und einem signierten 'Helfer'-Treiber, der vom ersten Treiber kontrolliert wird und zum Beenden der Prozesse in der Liste verwendet wird." Bluebottle verwendete zudem weitere bösartige Tools Mimikatz zum Extrahieren von Passwörtern, Keylogger zum Aufzeichnen von Tastatureingaben und den Netwire-Trojaner für den Fernzugriff.
Es hat zudem den Anschein, dass der signierte bösartige Treiber von verschiedenen Cyberkriminellen verwendet wurde.
Alle haben sie eines gleich - die verwendeten Signaturen stammen aus dem Windows Hardware Developer Programm und wurden damit also von Microsoft regulär verifiziert. Diese Signaturen als bösartig zu erkennen, ist also nicht leicht. Von diesen Signaturen weiß man spätestens seit letztem Monat, dass sie gestohlen wurden. Es gab aber schon im Sommer 2022 Hinweise auf die entwendeten Zertifikaten, die sich großer Beliebtheit bei Cyberkriminellen erfreuten.
Quelle; winfuture
