Die Sicherheitsforscher von Check Point beobachten die Rückkehr eines alten Bekannten: Der Backdoor-Trojaner Bandook war seit 2018 allmählich von der Bildfläche verschwunden – nun ist er zurück und wird in Kampagnen genutzt, die Regierungs-, Finanz-, Energie-, Lebensmittel-, Gesundheits-, Bildungs-, IT- und Rechtsinstitutionen attackieren – auch in Deutschland.
Die Ziele, welche Check Point im Rahmen der neuen Kampagne identifizieren konnte, sind breit gefächert: Regierungs-, Finanz-, Energie-, Lebensmittel-, Gesundheits-, Bildungs-, IT- und Rechtseinrichtungen sind betroffen – unter anderem in Deutschland, der Schweiz und Italien.
Dieses breite Spektrum lässt die Sicherheitsexperten darauf schließen, dass sich hinter den Angriffen nicht nur eine Hacker-Gruppierung im Alleingang verbirgt, sondern eine Organisation, welche Malware an verschiedene Bedrohungsakteure, wie staatliche Hacker, verkauft.
Die Rekonstruktion und Nachverfolgung jedenfalls wird durch diese weite Verbreitung deutlich erschwert. Der Angriffsweg bleibt aber meist gleich: Es beginnt mit einem verseuchten Word-Dokument innerhalb eines Zip-Files, das bei Öffnung versteckte Makro-Befehle ausführt.
Anschließend lädt ein PowerShell-Skript den Schädling herunter und führt ihn aus. In der letzten Stufe infiziert dann der Remote Access Trojaner (RAT) Bandook den Web-Browser des Anwenders, um eine Hintertür für die Angreifer zum verseuchten Rechner zu öffnen.