MalwareHackerangriffeDatenschutz

Speagle-Malware nutzt Cobra DocGuard aus: Neue Spionagekampagne gegen Unternehmen

Speagle-Malware nutzt Cobra DocGuard aus: Neue Spionagekampagne gegen Unternehmen
Zusammenfassung

Die Malware Speagle stellt eine raffinierte neue Bedrohung dar, die die legitime Dokumentenschutz-Software Cobra DocGuard zur Verschleierung ihrer Aktivitäten missbraucht. Sicherheitsforscher von Symantec und Carbon Black haben entdeckt, dass Speagle gezielt sensible Daten von infizierten Computern stiehlt und diese über kompromittierte Cobra-DocGuard-Server exfiltriert, wodurch der Datenraub als legitimer Datenaustausch getarnt wird. Die Malware zielt spezifisch auf Systeme ab, auf denen Cobra DocGuard installiert ist – ein klares Indiz für gezielte Angriffe möglicherweise durch staatliche Akteure oder spezialisierte Söldner. Besonders bemerkenswert ist die Nutzung von Lieferketten-Angriffen als Verteilungskanal, wie zwei dokumentierte Fälle aus 2022 und 2023 belegen. Für deutsche Unternehmen und Behörden, die Cobra DocGuard einsetzen, stellt dies eine erhebliche Gefahr dar – insbesondere für solche in sensiblen Sektoren wie Rüstung, Energie oder kritische Infrastruktur. Die Tatsache, dass eine Variante nach Dateien zu chinesischen Raketensystemen sucht, deutet auf geopolitische Spionageziele hin. Betroffene Organisationen sollten ihre Systeme sofort überprüfen und ihre Sicherheitsmaßnahmen verstärken.

Die neu entdeckte Malware Speagle stellt eine raffinierten Form der Cyber-Spionage dar. Das 32-Bit-.NET-Programm wurde entwickelt, um gezielt auf Computern mit installierter Cobra-DocGuard-Software tätig zu werden. Das Dokumentenschutz- und Verschlüsselungsprodukt von EsafeNet ist besonders in asiatischen Organisationen weit verbreitet, was es zum idealen Ziel für Angreifer macht.

Funktionsweise und Datendiebstahl

Speagle arbeitet hochgradig parasitär: Nach der Aktivierung prüft die Malware zunächst das Installationsverzeichnis von Cobra DocGuard. Anschließend sammelt sie schrittweise Systeminformationen, Browserdaten sowie Autofill-Informationen und übermittelt diese über die kompromittierten Cobra-DocGuard-Server an die Angreifer. Besonders raffiniert ist die Nutzung des Sicherheitsprogramms als Kommunikationskanal: Die Malware maskiert ihre Datenlecks als legitime Client-Server-Kommunikation und vermeidet so schnell Verdacht. Zum Verwischen von Spuren nutzt sie sogar einen Treiber von Cobra DocGuard, um sich selbst von infizierten Systemen zu löschen.

Eine Variante der Malware zeigt noch bemerkenswertere Fähigkeiten: Sie kann Datensammlungsfunktionen selektiv aktivieren oder deaktivieren und sucht gezielt nach Dateien bezüglich chinesischer Raketen wie der Dongfeng-27 (DF-27). Dies deutet stark auf Ziele hin, die für Geheimdienste oder militärische Spionage von Bedeutung sind.

Vorboten einer Trend-Attacke

Diese ist nicht das erste Mal, dass Cobra DocGuard als Waffe missbraucht wird. Im Januar 2023 dokumentierte ESET eine Kompromittierung eines hongkonger Glücksspielunternehmens, bei der eine bösartige Update-Version der Software verwendet wurde. Im August 2023 nutzte die Bedrohungsgruppe “Carderbee” eine trojanisierte Version, um den PlugX-Backdoor einzuschleusen – ein Werkzeug, das von chinesischen Hackergruppen wie Mustang Panda bevorzugt wird.

Wie Speagle genau verteilt wird, bleibt unklar. Experten vermuten jedoch einen Supply-Chain-Angriff, da die vorherigen Missbrauchsfälle dieses Muster zeigen. Die Angreifer könnten die Software bewusst ausgewählt haben – nicht nur wegen ihrer wahrgenommenen Anfälligkeit, sondern auch wegen ihrer breiten Nutzung bei hochgradigen Zielorganisationen.

Implikationen für Unternehmen

Symantec und Carbon Black ordnen Speagle als Werk entweder staatlicher Akteure oder kommerzieller Geheimdienste ein. Dies unterstreicht die zunehmende Professionalisierung von Cyber-Spionagekampagnen. Unternehmen, die Cobra DocGuard verwenden, sollten ihre Systeme auf verdächtige Aktivitäten überprüfen und erwägen, ihre Dokumentenschutz-Lösungen zu überprüfen.

Ähnliche Artikel