+43 699 / 18199463
office@itexperst.at

Syrisches Hackerteam nutzt RAT BlackWorm

Eine Hackergruppe, die vermutlich Verbindungen zur Syrischen Elektronischen Armee (SEA) hat, nutzt weiterentwickelte Formen von BlackWorm. BlackWorm ist ein Remote Access Trojaner (RAT), mit dem Organisationen infiltriert werden können.

Ende August veröffentlichten Forscher von FireEye in einem Blogartikel, dass das „Syrische Malware Team“ bereits seit 2011 aktiv ist. Die Gruppe agiert auf Seiten der syrischen Regierung und nutzt inzwischen hauptsächlich die Version „Dark Edition“ von BlackWorm in ihren Kampagnen.

FireEye erläuterte auch Details einer anderen BlackWorm-Version (v0.3.0), die wohl „auf recht einfache Weise ein schnell Übertragung von Nutzdaten ermöglicht“, heißt es im Blogartikel. Die frühere Version des RAT unterstützte eine Reihe von Befehlen: Neustart und Herunterfahren des Systems, die Anzeige von „erschreckenden“ Flashvideos auf ausgesuchten Rechnern, das Herunterladen und Ausführen von Dateien, das Abschalten kritischer Windows-Prozesse und das Blockieren von Eingaben über Tastatur und Maus.

Die Version „Dark Edition“ beinhaltet weitere Features. So können die Angreifer nun mithilfe des RATs auch die Benutzerkontensteuerung umgehen, Firewalls abschalten und sich über das Netzwerk verbreiten. „Im Gegensatz zu seinen Vorgängern, kann BlackWorm in dieser Version die Features des RAT im Detail steuern“, heißt es in dem Blogartikel weiter. „Die zusätzlichen Steuerungsfunktionen ermöglichen es dem RAT, Features nach Belieben ein- und auszuschalten. Außerdem können binäre Ergebnisse in diversen Formaten – .exe, .src oder .dll – erzeugt werden.“

Thoufique Haq von FireEye erklärt, dass

„ein RAT in der Zielumgebung den Angreifern quasi als Blankovollmacht dient.“

Er fügt hinzu, dass BlackWorm ein RAT

„wie viele andere ist und Eigenschaften hat, die die komplette Beschlagnahme, Überwachung und Extraktion von Daten aus dem System der Opfer ermöglichen“.

In dem Artikel verweist FireEye auch auf die Ergebnisse von IntelCrawler, die das Syrische Malware Team mit der Hacktivisten-Gruppe SEA verbinden. IntelCrawler zufolge zog sich eines der SEA-Mitglieder 2012 aus der SEA zurück, um das Syrische Malware Team zu starten.

Artikel von v3.co.uk, 29.08.2014: Syrian Malware Team found spewing ‚Dark Edition‘ BlackWorm RAT
Artikel von scmagazine.com, 29.08.2014: Syrian Malware Team makes use of enhanced BlackWorm RAT

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen