ZURÜCK ZU NACHRICHTEN
Eilmeldung

APT37 nutzt neue Malware zur Infiltration von Air-Gapped-Netzwerken via Wechseldatenträger

4 Min. LesezeitQuelle: BleepingComputer

Nordkoreanische Hackergruppe APT37 setzt neuartige Malware ein, um isolierte Netzwerke über USB-Laufwerke zu kompromittieren. Erfahren Sie, wie die Angriffe funktionieren und wie Sie sich schützen können.

Nordkoreanische APT37 erweitert Arsenal mit Malware zur Überbrückung von Air-Gapped-Netzwerken

Sicherheitsforscher haben eine neue Kampagne der nordkoreanischen Hackergruppe APT37 (auch bekannt als Reaper oder ScarCruft) aufgedeckt, bei der bisher undokumentierte Malware zum Einsatz kommt. Diese ist darauf ausgelegt, Air-Gapped-Netzwerke mit internetfähigen Systemen zu verbinden. Die Angriffskette nutzt Wechseldatenträger (USB-Laufwerke), um Datenexfiltration und Überwachung zu ermöglichen – ein deutlicher Fortschritt in den Taktiken der Gruppe zur Kompromittierung hochsicherer Umgebungen.

Technische Analyse des Angriffs

Die in aktuellen Untersuchungen identifizierte Malware arbeitet in einem mehrstufigen Infektionsprozess:

  1. Erster Infektionsvektor: Der Angriff beginnt typischerweise mit Phishing- oder Spear-Phishing-E-Mails, einem häufigen Einfallstor für APT37. Nach der Kompromittierung eines Systems etabliert die Malware Persistenz und wartet auf die Verbindung eines Wechseldatenträgers.

  2. Verbreitung via USB: Sobald ein infiziertes System ein angeschlossenes USB-Laufwerk erkennt, kopiert sich die Malware auf das Gerät. Oft tarnt sie ihre Payload als legitime Dateien oder nutzt Autorun.inf-Techniken, um bei Einstecken automatisch ausgeführt zu werden.

  3. Überbrückung von Air-Gapped-Netzwerken: Nach dem Einstecken in ein isoliertes System aktiviert sich die Malware, durchsucht nach sensiblen Daten und etabliert verdeckte Kommunikationskanäle, um Informationen an die vom Angreifer kontrollierte Infrastruktur zurückzusenden. Diese Methode umgeht herkömmliche netzwerkbasierte Abwehrmechanismen und setzt stattdessen auf physische Medien für die Datenübertragung.

  4. Überwachungsfunktionen: Die Malware enthält Module für Keylogging, Bildschirmaufnahmen und Datendiebstahl, die eine umfassende Überwachung kompromittierter Systeme ermöglichen. Forscher betonen, dass die Payloads stark modular aufgebaut sind, sodass Angreifer die Funktionalität an spezifische Ziele anpassen können.

Obwohl für diese neu entdeckten Tools noch keine CVE-IDs vergeben wurden, deutet die Komplexität der Malware auf erhebliche Investitionen in die Umgehung von Erkennung hin. Dazu gehören Anti-Analyse-Techniken wie Sandbox-Evasion und verschlüsselte Kommunikation.

Auswirkungen und Zielgruppen

APT37 hat eine Historie der gezielten Angriffe auf Regierungsbehörden, Rüstungsunternehmen und kritische Infrastrukturen in Südkorea, Japan und dem Nahen Osten. Die Fokussierung der Gruppe auf Air-Gapped-Systeme zeigt ein besonderes Interesse an hochwertigen, isolierten Netzwerken, wie sie in militärischen, nuklearen oder finanziellen Sektoren eingesetzt werden. Die Nutzung von USB-basierter Verbreitung entspricht Taktiken, die bereits in anderen staatlich unterstützten Kampagnen beobachtet wurden, darunter Stuxnet und Agent.BTZ. Allerdings scheinen die Tools von APT37 eher auf Spionage als auf Sabotage ausgelegt zu sein.

Die Entdeckung unterstreicht die anhaltende Bedrohung, die von staatlichen Akteuren für Air-Gapped-Umgebungen ausgeht. Diese gelten aufgrund ihrer physischen Isolation oft als inhärent sicher. Dennoch führt die Abhängigkeit von Wechseldatenträgern zu einer kritischen Schwachstelle: Selbst ein einziger kompromittierter USB-Stick kann als Brücke für Datenexfiltration dienen.

Schutzmaßnahmen und Empfehlungen

Sicherheitsteams, insbesondere solche, die Air-Gapped- oder Hochsicherheitsnetzwerke verwalten, sollten folgende Maßnahmen ergreifen, um diese Bedrohung zu mitigieren:

  • Kontrolle des USB-Zugriffs: Beschränken Sie die Nutzung von Wechseldatenträgern auf autorisiertes Personal und setzen Sie Whitelisting für zugelassene Geräte durch. Deaktivieren Sie die Autorun-Funktion auf allen Systemen.

  • Endpoint Detection and Response (EDR): Implementieren Sie EDR-Lösungen, die ungewöhnliches Verhalten erkennen, wie etwa unautorisierte Dateiübertragungen auf Wechseldatenträger oder verdächtige Prozessausführungen.

  • Netzwerksegmentierung: Obwohl Air-Gapped-Systeme physisch isoliert sind, sollten angrenzende Netzwerke segmentiert werden, um laterale Bewegungen im Falle einer Kompromittierung einzuschränken.

  • Schulung der Mitarbeiter: Sensibilisieren Sie Mitarbeiter für die Risiken von USB-basierten Angriffen, einschließlich Phishing-Kampagnen, die der Malware-Verbreitung vorausgehen können.

  • Regelmäßige Audits: Führen Sie häufige Überprüfungen von Air-Gapped-Systemen durch, um unautorisierte Hardware- oder Softwareänderungen zu erkennen. Nutzen Sie File Integrity Monitoring (FIM), um verdächtige Modifikationen zu identifizieren.

  • Austausch von Threat Intelligence: Arbeiten Sie mit Branchenkollegen und Behörden zusammen, um über neue Bedrohungen durch Gruppen wie APT37 informiert zu bleiben. Überwachen Sie Indicators of Compromise (IOCs), die mit dieser Kampagne in Verbindung stehen.

Fazit

Die Entdeckung der neuesten Malware von APT37 verdeutlicht das anhaltende Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern in Hochsicherheitsumgebungen. Obwohl Air-Gapped-Netzwerke ein zentraler Schutzmechanismus bleiben, erfordert ihre Anfälligkeit für Angriffe über physische Medien einen mehrschichtigen Sicherheitsansatz. Organisationen müssen wachsam bleiben und technische Kontrollen mit proaktiver Bedrohungserkennung kombinieren, um fortgeschrittenen persistenten Bedrohungen (APTs) entgegenzuwirken.

Weitere Details, einschließlich IOCs und technischer Analysen, finden Sie im Originalbericht von BleepingComputer.

Teilen

TwitterLinkedIn