Trojaner Bandook wieder aktiv

Check Point Firmenlogo 2019

Der Backdoor-Trojaner Bandook war seit 2018 allmählich von der Bildfläche verschwunden – nun ist er zurück und wird in Kampagnen genutzt, die Regierungs-, Finanz-, Energie-, Lebensmittel-, Gesundheits-, Bildungs-, IT- und Rechtsinstitutionen attackieren – auch in Deutschland.

San Carlos, Kalifornien – 22. Dezember 2020 – Die Sicherheitsforscher von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, beobachten die Rückkehr eines alten Bekannten: des Backdoor-Trojaners Bandook. Zuletzt prominent wurde dieser durch die Malware-Kampagnen Operation Manul (2015) und Dark Caracal (2017). Nun scheint die Malware-Familie ein Revival zu feiern.

Die Ziele, welche Check Point im Rahmen der neuen Kampagne identifizieren konnte, sind breit gefächert: Regierungs-, Finanz-, Energie-, Lebensmittel-, Gesundheits-, Bildungs-, IT- und Rechtseinrichtungen sind betroffen – unter anderem in Deutschland, der Schweiz und Italien. Dieses breite Spektrum lässt die Sicherheitsexperten darauf schließen, dass sich hinter den Angriffen nicht nur eine Hacker-Gruppierung im Alleingang verbirgt, sondern eine Organisation, welche Malware an verschiedene Bedrohungsakteure, wie staatliche Hacker, verkauft. Die Rekonstruktion und Nachverfolgung jedenfalls wird durch diese weite Verbreitung deutlich erschwert. Der Angriffsweg bleibt aber meist gleich: Es beginnt mit einem verseuchten Word-Dokument innerhalb eines Zip-Files, das bei Öffnung versteckte Makro-Befehle ausführt. Anschließend lädt ein PowerShell-Skript den Schädling herunter und führt ihn aus. In der letzten Stufe infiziert dann der Remote Access Trojaner (RAT) Bandook den Web-Browser des Anwenders, um eine Hintertür für die Angreifer zum verseuchten Rechner zu öffnen.

Abbildung: Infektionskette des RAT Bandook

Alles deutet darauf hin, dass die Betreiber der Operation Manul und Dark Caracal noch aktiv und einsatzbereit sind und jedem, der bezahlt, die Malware für Cyber-Angriffe zur Verfügung stellt. Entsprechend gilt es, Mitarbeiter gegen gefährliche E-Mail-Anhänge und ominöse Dateien zu sensibiliseren und sie mit der entsprechenden Sicherheitsarchitektur zu schützen. Check Point SandBlast Agent schützt vor solchen Advanced Persisten Threat (ATP)-Angriffen und verhindert sie bereits in den ersten Zügen.