Palo Alto Networks: Unit 42 entdeckt neue Malware "Reaver"
13. November 2017 - Das Threat Intelligence Team "Unit 42" von Palo Alto Networks hat eine neue Malware Familie entdeckt, welche sie "Reaver" nennen und die Angreiffern mit der SunOrcal-Malrware verbindet. Aktivitäten des SunOrcal wurden bis mind. 2013 dokumentiert und basierend auf Metadaten, die einige der C2s betreffen, möglicherweise bereits seit 2010. Die neue Familie scheint seit Ende 2016 in freier Wildbahn zu sein und bis heute hat Palo Alto Networks nur 10 eindeutige Proben, die darauf hinweisen, dass sie sparsam verwendet werden können. Reaver ist auch etwas einzigartig in der Tatsache, dass seine letzte Nutzlast in Form einer Control Panel-Element oder CPL-Datei ist. Bis heute verwenden nur 0,006% aller von Palo Alto Networks gesammelten Malware diese Technik, was darauf hinweist, dass sie in der Tat ziemlich selten ist.
Während wir in diesem Fall keine Informationen über die beabsichtigten Ziele haben, haben frühere Berichte über diese Aktivität festgestellt, dass es sich vorrangig um die "Fünf Gifte" handelt, die von der chinesischen Regierung als gefährlich wahrgenommen werden. Das sind folgende:
- Uiguren, besonders jene, die die Unabhängigkeit Ostturkestans unterstützen
- Tibeter, besonders diejenigen, die die tibetische Unabhängigkeit unterstützen
- Falun Gong-Praktizierende
- Anhänger der Unabhängigkeit Taiwans
- Anhänger der chinesischen Demokratie
Die Angreifer nutzten beide Familien gleichzeitig von Ende letzten Jahres bis November 2017, und es gibt einige C2-Infrastrukturüberschneidungen zwischen den beiden Familien sowie Links zur historischen Berichterstattung. Palo Alto Networks untersucht diese Verbindungen und bietet eine gründliche Analyse der neuen Malware an.