Bobik-Malware im Zusammenhang mit Angriffen in der Ukraine

Bobik ist der Name einer Malware, die sich wie ein Remote-Access-Trojaner verhält. Sicherheitsforscher haben Bobik mit einem Bedrohungsakteur in Verbindung gebracht, der für seine pro-russischen Einstellungen bekannt ist und unter dem Pseudonym NoName 057(16) bekannt ist.

Laut Forschern ging der Bedrohungsakteur NoName 057(16) auf sein Telegram-Konto und postete zu Zeiten, die mit DDoS-Angriffen (Distributed Denial of Service) mit Bobik zusammenfielen, über seine neuesten Angriffe.

Bobik verfügt sowohl über Spionage-Tools als auch über DDoS-Tools. Die Malware kann Informationen über das kompromittierte Gerät sammeln, einschließlich Protokollierung von Tastenanschlägen. Die Malware kann auch verwendet werden, um DDoS-Angriffe mit infizierten Geräten zu starten, die zu ihrem Botnet hinzugefügt wurden.

Die Infektionskette von Bobik ist mit einer anderen Malware verbunden, die als RedLine Stealer bekannt ist. RedLine wird als Dropper verwendet und holt Bobik, der wiederum seine DDoS-Komponente einsetzt.

Die Malware wurde bei Angriffen sowohl gegen staatliche und militärische Einrichtungen in der Ukraine als auch gegen Einrichtungen in Ländern eingesetzt, die die Ukraine unterstützen. Zu letzteren gehören der Mobilfunkanbieter Verizon und der britische multinationale Teilelieferant GKN Ltd.

Bobik wurde auch bei Angriffen auf Ziele in Litauen, Lettland und Polen sowie in skandinavischen Ländern eingesetzt.