Palo Alto Networks: Enthüllung des hoch entwickelten Cyberspionage-Tools, bekannt als BendyBear

09. Februar 2021 - Am Dienstag gab "Unit 42" die Entdeckung von BendyBear bekannt, einer der fortschrittlichsten Cyberspionage-Tools, die bisher entdeckt wurden. Das Tool wurde zur extremen Tarnung entwickelt und verfügt über Funktionen, die es ermöglichen, sich der Erkennung durch IT-Sicherheitsprodukte zu entziehen und es Bedrohungsforschern zu erschweren, ein Reverse Engineering durchzuführen. "Unit 42" veröffentlichte einen Bericht mit Details zu den Funktionen der Malware: "BendyBear: Neuartiger chinesischer Shellcode in Verbindung mit der Cyberspionage Group BlackTech".

BendyBear scheint eine Variante von WaterBear zu sein, einer Malware, die aufgrund starker Ähnlichkeiten für seitliche Bewegungen (Lateral Movement) verwendet wird, während ihre Aktivitäten verschleiert werden. Andere Forscher, darunter Trend Micro und TeamT5, haben WaterBear der Gruppe BlackTech zugeschrieben, einer Gruppe mit Verbindungen zur chinesischen Regierung, von der angenommen wird, dass sie für Angriffe auf ostasiatische Regierungen und Technologieorganisationen seit mindestens 2009 verantwortlich ist.

BendyBear verwendet eine modifizierte Version der RC4-Verschlüsselung, welche die Verschlüsselung härtet und es schwieriger macht, die Netzwerkkommunikation zu durchbrechen. Das Tool verwendet auch polymorphen Code, welcher der Malware Chamäleon-ähnliche Fähigkeiten verleiht: Es ändert seine Bytes nach der Laufzeitausführung, wodurch es unlesbar, bedeutungslos und äusserst schwer zu erkennen ist. Es lädt Nutzdaten direkt in den Speicher und nicht in ein Dateisystem. Dies bedeutet, dass herkömmliche Fingerabdrücke für Bedrohungsforscher und Sicherheitsprodukte nicht zurückbleiben. Diese Merkmale machen es ausserordentlich schwierig zu erkennen.

 

Palo Alto Networks entdeckt Cyberspionagetool BendyBear

 

"Unit 42" hat bereits Informationen über BendyBear an vertrauenswürdige Regierungs- und Industriepartner weitergegeben, einschliesslich der Cyber Threat Alliance. Zu diesen Daten gehören Kompromissindikatoren (Indicators of Compromise, IoCs), anhand derer Unternehmen feststellen können, ob sie von BendyBear kompromittiert wurden und um zukünftige Angriffe blockieren zu können.

Palo Alto Networks hofft, dass die Veröffentlichung dieser Informationen BendyBear ausreichend beleuchtet, um es zu einem weitaus weniger effektiven Tool für Cyberspionage zu machen. Wir fordern Unternehmen jedoch dringend auf, wachsam gegenüber Angreifern zu bleiben, indem sie fortschrittliche Taktiken anwenden, um unentdeckt zu bleiben, wie z.B. die SolarWinds-Angriffe zeigen.

Palo Alto Networks bietet Schutz vor den beschriebenen BendyBear-Angriffen durch Cortex XDR sowie seine Abonnemente für DNS-Sicherheit, URL-Filterung und WildFire für die Firewall der nächsten Generation.

 

Quellen:

Exposing the Sophisticated Cyber Espionage Tool Known as BendyBear (Unit 42, Palo Alto Networks)

BendyBear: Novel Chinese Shellcode Linked With Cyber Espionage Group BlackTech (Unit 42, Palo Alto Networks)

 

Wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner und Authorized Support Center (ASC) in der Schweiz, helfen Ihnen bei Fragen gerne weiter.

 

Gut zu Wissen:

Basierend auf einer strengen und umfassenden Bewertung im ersten Endpoint Prevention and Response (EPR)-Test von AV-Comparatives wurde Cortex XDR zum Strategic Leader ernannt – der höchsten verfügbaren Zertifizierungsstufe. Lesen Sie hier den ganzen Report dazu. (pdf)

 

Übrigens:

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, zeichnet dieses Jahr die Walliseller IT-Sicherheitsdienstleisterin Omicron AG mit dem "Partner of the Year Award 2020" in der Region ALPS aus. Diese Auszeichnung wird an Partner von Palo Alto Networks verliehen, welche sich durch ausserordentlichen Kundensupport und exzellente Projektumsetzung hervorheben. Die Omicron AG ist bereits seit 2009 eine strategische Partnerin des Herstellers und betreut als Platinum Innovator Partner und Authorized Support Center (ASC) erfolgreich zahlreiche Kunden in der Schweiz. Zusammen mit Palo Alto Networks bemüht sich die Omicron AG tagtäglich, ihrer Kundschaft qualitativ hochstehende Leistungen im IT-Sicherheitsumfeld aus einer Hand zu bieten und zukünftige IT-Security-Herausforderungen vom Endpunkt, über die Firewall bis hin zur Cloud, fachgerecht zu adressieren.