• Cyber Security
  • Smartphones
    • Smartphone-Modelle
  • Menu
  • Skip to right header navigation
  • Skip to main content
  • Zur Hauptsidebar springen

Cropped Logo Large.de Header.png

Neueste Nachrichten über Technologie und Cybersicherheit

  • Cyber Security
  • Smartphones
    • Smartphone-Modelle
chinesische hacker verbreiten sms bomber tool mit versteckter malware

Chinesische Hacker verbreiten SMS-Bomber-Tool mit versteckter Malware

Aktuelle Seite: Startseite / Cyber Security News / Chinesische Hacker verbreiten SMS-Bomber-Tool mit versteckter Malware

Juni 23, 2022

Ein Bedrohungscluster mit Verbindungen zu einer Hackergruppe namens Tropic Trooper wurde entdeckt, die im Rahmen einer neu entdeckten Kampagne eine bisher nicht dokumentierte, in der Nim-Sprache codierte Malware verwendet, um Ziele anzugreifen.

Der neuartige Lader mit dem Namen Nimbda ist „mit einem chinesischsprachigen Greyware-Tool ‚SMS Bomber‘ gebündelt, das höchstwahrscheinlich illegal im chinesischsprachigen Web verbreitet wird“, so das israelische Cybersicherheitsunternehmen Check Point in einem Bericht.

„Wer auch immer den Nim-Loader entwickelt hat, hat besonders darauf geachtet, ihm das gleiche ausführbare Symbol zu geben wie dem SMS-Bomber, den er ablegt und ausführt“, so die Forscher. „Daher funktioniert das gesamte Paket wie eine trojanisierte Binärdatei.“

SMS Bomber, wie der Name schon sagt, ermöglicht es einem Benutzer, eine Telefonnummer (nicht seine eigene) einzugeben, um das Gerät des Opfers mit Nachrichten zu überfluten und es möglicherweise in einem Denial-of-Service-Angriff (DoS) unbrauchbar zu machen.

CyberSicherheit

Die Tatsache, dass die Binärdatei gleichzeitig als SMS-Bomber und als Backdoor fungiert, deutet darauf hin, dass die Angriffe nicht nur auf die Nutzer des Tools abzielen – ein „eher unorthodoxes Ziel“ -, sondern auch sehr gezielt sind.

Tropic Trooper, auch bekannt unter den Namen Earth Centaur, KeyBoy und Pirate Panda, hat eine Erfolgsbilanz von Angriffen auf Ziele in Taiwan, Hongkong und auf den Philippinen, die sich vor allem auf die Regierung, das Gesundheitswesen, das Transportwesen und die High-Tech-Branche konzentrieren.

Trend Micro bezeichnete das chinesischsprachige Kollektiv als „bemerkenswert raffiniert und gut ausgerüstet“ und wies im vergangenen Jahr auf die Fähigkeit der Gruppe hin, ihre TTPs weiterzuentwickeln, um unter dem Radar zu bleiben, und sich auf eine breite Palette von benutzerdefinierten Tools zu verlassen, um ihre Ziele zu kompromittieren.

Die jüngste von Check Point dokumentierte Angriffskette beginnt mit dem manipulierten SMS-Bomber-Tool, dem Nimbda-Loader, der eine eingebettete ausführbare Datei startet, in diesem Fall die legitime SMS-Bomber-Nutzlast, und gleichzeitig ein separates Stück Shellcode in einen notepad.exe-Prozess injiziert.

Dadurch wird ein dreistufiger Infektionsprozess in Gang gesetzt, bei dem eine Binärdatei der nächsten Stufe von einer verschleierten IP-Adresse heruntergeladen wird, die in einer Markdown-Datei („EULA.md“) angegeben ist, die sich in einem vom Angreifer kontrollierten GitHub- oder Gitee-Repository befindet.

CyberSecurity

Bei der gefundenen Binärdatei handelt es sich um eine aktualisierte Version eines Trojaners namens Yahoyah, der Informationen über lokale drahtlose Netzwerke in der Umgebung des Opfers sowie andere System-Metadaten sammelt und die Details an einen Command-and-Control-Server (C2) weiterleitet.

Yahoyah fungiert seinerseits auch als Kanal, um die Malware der Endphase zu holen, die in Form eines Bildes vom C2-Server heruntergeladen wird. Bei der steganografisch verschlüsselten Nutzlast handelt es sich um eine als TClient bekannte Backdoor, die von der Gruppe bereits in früheren Kampagnen eingesetzt wurde.

„Das beobachtete Aktivitätscluster zeichnet das Bild eines fokussierten, entschlossenen Akteurs mit einem klaren Ziel vor Augen“, so das Fazit der Forscher.

„Normalerweise werden gutartige (oder gutartig erscheinende) Tools von Drittanbietern, die in eine Infektionskette eingefügt werden sollen, so ausgewählt, dass sie so wenig auffällig wie möglich sind; die Wahl eines ‚SMS-Bomber‘-Tools für diesen Zweck ist beunruhigend und erzählt eine ganze Geschichte, sobald man es wagt, ein Motiv und ein beabsichtigtes Opfer zu extrapolieren.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com

Kategorie: Cyber Security News

Vorheriger Beitrag: «kritische php schwachstelle macht qnap nas geräte anfällig für remote angriffe Kritische PHP-Schwachstelle macht QNAP NAS-Geräte anfällig für Remote-Angriffe
Nächster Beitrag: #InfosecurityEurope2022: Die Macht der Erzählung bei der Hervorhebung von OT-System-Risiken Alltechnews.de»

Leser-Interaktionen

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Haupt-Sidebar

Diesen Beitrag melden

Neueste Beiträge

  • Unbekannter Hacker stiehlt 100 Millionen Dollar von der kalifornischen Cryptocurrency-Firma Harmony
  • Pro-russische Hackergruppe Killnet greift kritische Regierungsseiten in Litauen an
  • Chinesische Forscher finden kritische Sicherheitslücken in der Automatisierungssoftware CoDeSys
  • Cybersecurity-Experten warnen vor der aufkommenden Bedrohung durch „Black Basta“ Ransomware
  • Abschließende Aufforderung zur Stellungnahme zu Vorschlägen für die Sicherheit von Regierungsanwendungen

Copyright © 2020-2021 AllTechNews.de, Alle Rechte vorbehalten.