Der bei RSA SecurID-Angriffen verwendete Poison Ivy-Trojaner ist immer noch beliebt

Laut dem Sicherheitsanbieter FireEye wird ein bösartiges Softwaretool, das möglicherweise am bekanntesten zum Hacken der SecurID-Infrastruktur von RSA verwendet wird, immer noch für gezielte Angriffe verwendet.

Poison Ivy ist ein RAT (Remote Access Trojan), der vor acht Jahren veröffentlicht wurde, aber immer noch von einigen Hackern bevorzugt wird, schrieb FireEye in einem neuen Bericht, der am Mittwoch veröffentlicht wurde. Es verfügt über eine vertraute Windows-Oberfläche, ist einfach zu bedienen und kann Tastenanschläge protokollieren, Dateien und Kennwörter stehlen.

[Der Sicherheitsexperte Roger A. Grimes bietet eine Führung durch die neuesten Bedrohungen und erklärt im Shop Talk-Video von "Fight Today's Malware", wie Sie sie stoppen können. | Bleiben Sie mit dem Security Adviser-Blog und dem Security Central-Newsletter über wichtige Sicherheitsprobleme auf dem Laufenden. ]]

Da Poison Ivy immer noch so weit verbreitet ist, ist es laut FireEye für Sicherheitsanalysten schwieriger, seine Verwendung mit einer bestimmten Hacking-Gruppe zu verknüpfen.

Für seine Analyse sammelte das Unternehmen 194 Proben von Poison Ivy, die bei Angriffen aus dem Jahr 2008 verwendet wurden, und untersuchte die Passwörter, mit denen die Angreifer auf die RATs und die verwendeten Befehls- und Kontrollserver zugreifen.

Drei Gruppen, von denen eine in China ansässig zu sein scheint, setzen Poison Ivy seit mindestens vier Jahren bei gezielten Angriffen ein. FireEye identifizierte die Gruppen anhand der Passwörter, mit denen sie auf die Poison Ivy RAT zugreifen, die sie auf dem Computer eines Ziels abgelegt haben: admin338, th3bug und menuPass.

Die Gruppe admin388 soll bereits im Januar 2008 aktiv gewesen sein und sich an ISPs, Telekommunikationsunternehmen, Regierungsorganisationen und den Verteidigungssektor gewandt haben, schrieb FireEye.

Opfer werden normalerweise von dieser Gruppe mit Spear-Phishing-E-Mails angesprochen, die einen böswilligen Microsoft Word- oder PDF-Anhang mit dem Poison Ivy-Code enthalten. Die E-Mails sind in englischer Sprache verfasst, verwenden jedoch einen chinesischen Zeichensatz im E-Mail-Nachrichtentext.

Die Anwesenheit von Poison Ivy kann auf ein kritischeres Interesse eines Angreifers hinweisen, da es manuell in Echtzeit gesteuert werden muss.

"RATs sind viel persönlicher und weisen möglicherweise darauf hin, dass Sie es mit einem engagierten Bedrohungsakteur zu tun haben, der speziell an Ihrer Organisation interessiert ist", schrieb FireEye.

Um Organisationen bei der Erkennung von Poison Ivy zu unterstützen, hat FireEye "Calamine" veröffentlicht, eine Reihe von zwei Tools, mit denen die Verschlüsselung entschlüsselt und herausgefunden werden kann, was sie stiehlt.

Gestohlene Informationen werden von Poison Ivy mithilfe der Camellia-Chiffre mit einem 256-Bit-Schlüssel verschlüsselt, bevor sie an einen Remote-Server gesendet werden, schrieb FireEye. Der Verschlüsselungsschlüssel wird aus dem Kennwort abgeleitet, mit dem der Angreifer Poison Ivy entsperrt.

Viele der Angreifer verwenden einfach das Standardkennwort "admin". Wenn sich das Kennwort geändert hat, kann es mit einem der Tools von Calamine, dem PyCommand-Skript, abgefangen werden. Ein zweites Calamine-Tool kann dann den Netzwerkverkehr von Poison Ivy entschlüsseln, was einen Hinweis darauf geben kann, was der Angreifer getan hat.

"Calamine kann entschlossene Angreifer, die Poison Ivy verwenden, nicht aufhalten", warnte FireEye. "Aber es kann ihre kriminellen Bemühungen so viel schwieriger machen."

Senden Sie Tipps und Kommentare zu Nachrichten an [email protected] Folgen Sie mir auf Twitter: @jeremy_kirk.