Crouching Yeti-malware (Energetic Bear)

VIRUSDEFINITION

Virustype: Malware/avanceret, vedvarende trussel (APT)

Hvad er det?

Crouching Yeti er en trussel i forbindelse med flere avancerede, vedvarende trusselskampagner (APT), der har været aktive helt tilbage til mindst udgangen af 2010.

Denne trussel er primært rettet mod følgende sektorer:

• Industri/maskiner
• Produktion
• Lægemiddelbranchen
• Byggeri
• Uddannelse
• Informationsteknologi

Efter en nærmere undersøgelse har vi slået fast, at det største antal ofre var inden for industri-/maskinbygningssektoren, hvilket er et tegn på, at der er særlig interesse inden for dette område.

Crouching Yeti-truslen benyttede tre metoder til at inficere ofrene; Spear-phishing-e-mails vha. PDF-dokumenter med en indlagt Adobe Flash-udnyttelse (CVE-2011-0611)

• Trojaniserede softwareinstallationsprogrammer
• Vandhulsangreb vha. en række genanvendte udnyttelser

Detaljer omkring truslen

Crouching Yeti er absolut ingen sofistikeret kampagne. Hackerne benyttede for eksempel ingen nuldagsudnyttelser, kun udnyttelser, der er almindeligt tilgængelige på internettet. Men det forhindrede ikke kampagnen i at forblive under radaren i flere år.

Det samlede antal kendte ofre er mere end 2.800 på verdensplan, hvoraf Kaspersky Labs forskere har kunnet identificere 101 organisationer. Denne liste over ofre synes at indikere Crouching Yetis interesse i strategiske mål, men viser også gruppens interesse for mange andre knap så indlysende institutioner.

Kaspersky Labs eksperter mener, at de kan være indirekte ofre, men det kan også være fornuftigt at gendefinere Crouching Yeti som værende ikke blot en yderst målrettet kampagne med et meget specifikt interesseområde, men også som en bred overvågningskampagne med interesser inden for forskellige sektorer.

Hvordan ved jeg, om jeg er inficeret af Crouching Yeti

Den bedste måde at afgøre, om du har været offer for Crouching Yeti, er at undersøge, om der har været en indtrængen. En identifikation af truslen kan foretages med et stærkt antivirusprodukt som Kaspersky Anti-Virus.

Kaspersky Labs produkter detekterer malware, som omfatter Crouching Yeti-kampagnen, med følgende trusselsdefinitioner:

• Trojan.Win32.Sysmain.xxx
• Trojan.Win32.Havex.xxx
• Trojan.Win32.ddex.xxx
• Backdoor.MSIL.ClientX.xxx
• Trojan.Win32.Karagany.xxx
• Trojan-Spy.Win32.HavexOPC.xxx
• Trojan-Spy.Win32.HavexNk2.xxx
• Trojan-Dropper.Win32.HavexDrop.xxx
• Trojan-Spy.Win32.HavexNetscan.xxx
• Trojan-Spy.Win32.HavexSysinfo.xxx

Hvordan beskytter jeg mig selv mod Crouching Yeti

• Hold al din software opdateret. Ingen af de udnyttelser, som blev benyttet af Crouching Yeti-trusler, var angreb baseret på nuldagsudnyttelse, de fleste inficeringer kunne have været undgået ved at anvende opdateret tredjepartssoftware.
• Installér en sikkerhedsløsning, og hold den opdateret for at forhindre virusinficeringer.
• Uddannelse er en vigtig del af sikkerheden, især i forbindelse med spear-phishing-e-mails.