Deep Instinct hat mit Arid Gopher eine neue, noch nie dagewesene Malware-Variante entdeckt

Das Threat Research Team von Deep Instinct hat eine neue, nicht dokumentierte Malware gefunden, die in der Golang-Programmiersprache entwickelt wurde. + Die Malware wird dem Malwarestamm APT-C-23 (Arid Viper) zugeschrieben und bedroht Windows-Betriebssysteme

Was ist Arid Gopher? Das erklären die Deep Instinct Sicherheitsforscher Simon Kenin, Sicherheitsforscher und Asaf Gilboa: „Das Deep Instinct Threat Research Team beobachtet die Cyber-Bedrohungslandschaft sehr genau und sucht täglich nach Malware. Vor kurzem stieß das Team auf eine ausführbare Datei, die in der Programmiersprache Go geschrieben war. Die identifizierte Datei wurde ursprünglich am 29. Dezember 2021 an VirusTotal übermittelt und wurde nur von sechs Sicherheitsanbietern erkannt. Nach einer ersten Überprüfung wurden zwei weitere ähnliche, in Go geschriebene Dateien gefunden. Bei der Analyse dieser Dateien identifizierte das Team eine bisher unbekannte Variante der Arid-Gopher-Malware; die neue unbekannte Malware ist eine Variante der Micropsia-Malware, die ausschließlich von APT-C-23 (Arid Viper) geschrieben und verwendet wird.

Micropsia und Arid Viper

Dieser Malware-Stamm wurde erstmals im Jahr 2017 von „360 Security“ identifiziert, später aber in Micropsia umbenannt. Diese Malware zielt auf Computer mit Windows-Betriebssystemen ab.

Der Bedrohungsakteur hinter der Micropsia-Malware ist unter dem Namen APT-C-23 oder Arid Viper bekannt. Diese Malware wurde in erster Linie für Angriffe auf den Nahen Osten eingesetzt, wobei ein besonderes Interesse an palästinensischen Zielen bestand. Arid Viper verfügt auch über eine einzigartige Android-Malware, die gegen israelische Ziele eingesetzt wurde. Arid Viper wurde bereits mit der Hamas-Organisation in Verbindung gebracht.

Sowohl die Windows- als auch die Android-Malware-Versionen werden ständig weiterentwickelt. Im April 2021 veröffentlichte Facebook (jetzt Meta) einen Bedrohungsbericht über Arid Viper. In diesem Bericht wurde eine neue iOS-Malware identifiziert, die von APT-C-23 entwickelt wurde. Facebook wies darauf hin, dass der Bedrohungsakteur die Programmiersprache, die er für die Entwicklung der Micropsia-Malware verwendete, ständig änderte und Pascal, Delphi, C++ und sogar Python verwendete.

Was ist Arid Gopher?

Bei der Untersuchung der drei in Go geschriebenen Dateien entdeckte das Sicherheitsteam von Deep Instinct eine neue, in Go geschriebene Variante der Micropsia-Malwarefamilie, die als Arid Gopher bezeichnet wird.

Diese neue Variante befindet sich noch in der Entwicklung; alle drei Dateien haben eine gemeinsame Basis, aber jede Datei enthält einzigartigen Code, der in den anderen Dateien nicht vorhanden ist.

Neben dem Hauptimplantat enthüllte die Deep Instinct Untersuchung eine „Helfer“-Malware, die ebenfalls in Go geschrieben wurde, und eine Malware der zweiten Stufe, die vom C2-Server heruntergeladen wurde.“

Nachfolgend finden Sie eine kurze Analyse aller neu gefundenen Samples und eine ausführliche Analyse: https://www.deepinstinct.com/blog/arid-gopher-the-newest-micropsia-malware-variant

Fazit

Die meisten aktuellen Cybersicherheitsprodukte sind nicht in der Lage, neue Malware und APTs (Advanced Persistent Threats) zu erkennen, da sie sich auf manuell abgestimmte Heuristiken verlassen. Fortschrittlichere Lösungen verwenden manuell ausgewählte Merkmale, die dann in klassische maschinelle Lernmodule eingespeist werden, um die Datei als bösartig oder legitim zu klassifizieren. Mehrere Methoden beruhen auf der Ausführung der Malware in einer Sandbox-Umgebung, um mehr Informationen zu erhalten. Dies ermöglicht zwar eine genauere Erkennung, geht aber auf Kosten des Schutzes, da es sich um einen sehr zeitintensiven Prozess handelt, der die Ausführung von Bedrohungen nicht verhindert.

Deep Instinct verfolgt einen präventiven Ansatz, um Ransomware und andere Malware mit dem weltweit ersten und einzigen speziell entwickelten Deep-Learning Framework für Cybersecurity zu stoppen. Deep Instinct prognostiziert und verhindert bekannte, unbekannte und Zero-Day-Bedrohungen in weniger als 20 Millisekunden, also 750-mal schneller, als die schnellste Ransomware verschlüsseln kann. Deep Instinct hat eine Zero-Day-Genauigkeit von mehr als 99 Prozent und verspricht eine False-positive-Rate von weniger als 0,1 Prozent. Die Deep Instinct Prevention Platform ist eine unverzichtbare Ergänzung für jeden Sicherheitsstack und bietet einen umfassenden, mehrschichtigen Schutz vor Bedrohungen in hybriden Umgebungen. Für weitere Informationen besuchen Sie www.deepinstinct.com.