Cybersicherheitsexperten von Kaspersky Lab haben Ende Juli eine bisher unbekannte Malware namens CMoon auf der Webseite eines nicht näher genannten russischen Energieunternehmens entdeckt. Der hochentwickelte Computerwurm stellt eine ernsthafte Bedrohung für die Cybersicherheit dar, da er in der Lage ist, vertrauliche Daten zu stehlen und DDoS-Angriffe (Distributed Denial of Service) durchzuführen.
Infizierung durch manipulierte Dokumenten-Downloads
Die Angreifer gingen äußerst raffiniert vor, indem sie auf der Unternehmenswebseite etwa 20 Links zu regulären Dokumenten (.docx, .xlsx, .rtf und .pdf) durch bösartige ausführbare Dateien ersetzten. Nutzer, die versuchten diese scheinbar harmlosen Dokumente herunterzuladen, infizierten unwissentlich ihre Systeme mit der CMoon-Malware. Diese Taktik wird in Fachkreisen als „Watering Hole“-Angriff bezeichnet – analog zu Raubtieren, die an Wasserstellen auf ihre Beute lauern.
Vielfältige Fähigkeiten der CMoon-Malware
CMoon, ein in .NET programmierter Wurm, verfügt über ein beeindruckendes Arsenal an Funktionen:
- Exfiltration sensibler Daten von infizierten Geräten, einschließlich Dateien mit Schlüsselwörtern wie „geheim“, „dienstlich“ oder „Passwort“
- Durchführung von DDoS-Angriffen
- Selbstverbreitung auf andere Geräte
- Extraktion von Passwörtern, Cookies und Autofill-Daten aus Webbrowsern
- Überwachung und Infektion von USB-Laufwerken
- Erstellung von Screenshots
Gezielte Attacke auf Energiesektor
Die Analyse des CMoon-Wurms deutet auf einen gezielten Angriff hin. Die Malware war speziell darauf ausgelegt, bestimmte Dateitypen zu suchen und zu exfiltrieren, was auf ein hohes Maß an Vorbereitung und Kenntnis der Zielumgebung schließen lässt. Es wird vermutet, dass der Angriff auf Auftragnehmer und Partner des betroffenen Energieunternehmens abzielte, die regelmäßig die kompromittierte Webseite besuchen.
Innovative Tarnungs- und Verbreitungsmethoden
CMoon nutzt mehrere fortschrittliche Techniken, um Entdeckung und Analyse zu erschweren:
- Überprüfung der Internetverbindung durch Kontaktaufnahme mit www.pornhub.com
- Automatische Verbindung mit gespeicherten Wi-Fi-Netzwerken bei fehlender Internetkonnektivität
- Verschleierung der Kommunikation durch Nutzung von TCP-Verbindungen
- Tarnung infizierter USB-Laufwerke durch Ersetzen von Dateien mit Verknüpfungen zur Malware
Der CMoon-Vorfall unterstreicht die wachsende Bedrohung durch hochentwickelte Malware für kritische Infrastrukturen. Unternehmen im Energiesektor und anderen sensiblen Bereichen müssen ihre Cybersicherheitsmaßnahmen kontinuierlich überprüfen und verbessern. Dies umfasst regelmäßige Sicherheitsaudits, Mitarbeiterschulungen zur Erkennung von Phishing-Versuchen, sowie die Implementierung fortschrittlicher Endpoint-Detection-and-Response-Lösungen. Nur durch einen ganzheitlichen und proaktiven Ansatz können Organisationen sich effektiv gegen solch ausgeklügelte Cyberangriffe schützen.