Pteredo Backdoor

Weitere Malware-Stämme, die bei Angriffen auf ukrainische Ziele eingesetzt werden, werden von Cybersicherheitsanalysten aufgedeckt. In einem Bericht enthüllten Experten Details über eine Operation der cyberkriminellen Gruppe Gamaredon (auch als Armageddon/Shuckworm verfolgt) und ihre neueste Malware-Kreation namens Pteredo Backdoor.

Es wird angenommen, dass Gamaredon eine vom russischen Staat geförderte Bedrohungsgruppe ist, die anhaltendes Interesse an Angriffen auf die Ukraine gezeigt hat. Ihre Operationen gegen Ziele im Land lassen sich bis mindestens 2014 zurückverfolgen. Seitdem hat die Gruppe vermutlich über 5.000 Angriffsoperationen gegen etwa 1.500 staatliche, öffentliche und private Einrichtungen durchgeführt.

Bei der Malware Pteredo (Pteranodon) hat die Analyse ergeben, dass es sich wahrscheinlich um einen Abkömmling einer Hintertür handelt, die in russischen Hackerforen angeboten wurde. Die Agenten von Gamaredon haben die Bedrohung erworben und ihre Fähigkeiten über spezialisierte DLL-Module weiter ausgebaut. Die derzeit identifizierten vier verschiedenen Versionen von Pteredo können Daten von den angegriffenen Geräten sammeln, Fernzugriffsverbindungen herstellen und sind mit Techniken zur Umgehung von Analysen ausgestattet.

Es sei darauf hingewiesen, dass die beim Angriff auf ukrainische Ziele eingesetzten Nutzlasten unterschiedlich sind, aber nach ihrer Aktivierung ähnliche Aktionen ausführen. Jede Nutzlast kommuniziert jedoch mit einer anderen Command-and-Control (C2, C&C)-Serveradresse. Das wahrscheinliche Ziel der Gamaredon-Hacker ist es, die Säuberung von Zielgeräten über Anti-Malware-Tools durch die Verwendung leicht unterschiedlicher Payloads erheblich zu erschweren.