Cyberspionage: ESET veröffentlicht APT Activity Report

November 16, 2022

Hackergruppen aus Russland, Nordkorea, Iran und China ungebremst aktiv

ESET gibt mit seinem neuen APT (Advanced Persistent Threat) Activity Report einen regelmäßigen Überblick über die Tätigkeiten dieser Hackergruppen und beleuchtet ihr Vorgehen im Detail. Mit Russland verbundene Hacker wie Sandworm, Gamaredon, Turla oder InvisiMole haben weiterhin die Ukraine als Primärziel. Luftfahrt- und Rüstungsunternehmen sind beliebt bei Akteuren, die Verbindung nach Nordkorea haben. Iranische Gruppen fokussieren ihre Aktivitäten auf Israel. Auch ein deutsches Lebensmittelunternehmen war Ziel einer mit China verbundenen APT-Gruppe. Insgesamt konnten die ESET-Forscher keinen Rückgang der Tätigkeiten bei den verschiedenen Hackergruppen feststellen. Der aktuelle Bericht umfasst den Zeitraum von Mai bis August 2022 und ist auf WeLiveSecurity.de (https://www.welivesecurity.com/deutsch/) verfügbar.

„Die Luftfahrt- und Rüstungsindustrie sind nach wie vor von großem Interesse für mit Nordkorea verbündete Gruppen. Beispielsweise hatte es Lazarus auf einen Mitarbeiter eines Luft- und Raumfahrtunternehmens in den Niederlanden abgesehen. Unseren Recherchen zufolge hat die Gruppe eine Schwachstelle in einem legitimen Dell-Treiber ausgenutzt, um in das Unternehmen einzudringen. Wir glauben, dass dies der erste jemals aufgezeichnete Missbrauch dieser Schwachstelle in freier Wildbahn ist“, erklärt Jan-Ian Boutin, Direktor von ESET Threat Research. „Wir haben zudem festgestellt, dass mehrere mit Russland verbündete Gruppen den Messengerdienst Telegram missbraucht haben, um auf Command-and-Control Server zuzugreifen oder um sensible Informationen durchsickern zu lassen. APT-Akteure aus anderen Regionen versuchten ebenfalls, Zugang zu ukrainischen Organisationen zu bekommen, sowohl für Cyberspionage als auch für den Diebstahl von geistigem Eigentum“, sagt Boutin weiter.

Kryptowährungen: weiteres Tätigkeitsfeld für APT-Gruppen 
Finanzinstitutionen und Unternehmen, die mit Kryptowährungen arbeiten, waren das Ziel von Kimsuky aus Nordkorea und zwei Kampagnen der Lazarus Gruppe. Eine dieser Aktionen, die von den ESET-Forschern als Operation In(ter)ception bezeichnet wird, wich von ihren üblichen Zielen in der Luftfahrt- sowie Rüstungsindustrie ab. Dabei wurde eine einzelne Person aus Argentinien mit einer als Jobangebot bei Coinbase getarnten Malware angegriffen. ESET entdeckte außerdem, dass die Gruppe Konni eine Technik verwendet, die in der Vergangenheit von Lazarus eingesetzt wurde – eine trojanisierte Version des Sumatra PDF Viewers.

In China ansässige Gruppen waren weiterhin sehr aktiv. Sie nutzten verschiedene Schwachstellen und bisher nicht gemeldete Backdoors. So identifizierte ESET die Linux-Variante einer Backdoor, die von SparklingGoblin gegen eine Universität in Hongkong eingesetzt wurde. Dieselbe Gruppe nutzte in einem anderen Fall eine Confluence-Schwachstelle, um ein Unternehmen der Lebensmittelindustrie in Deutschland und ein Ingenieurbüro in den USA anzugreifen. ESET Research vermutet außerdem, dass eine ManageEngine ADSelfService Plus-Schwachstelle hinter der Kompromittierung eines US-Rüstungsunternehmens steckt. Dessen Systeme wurden nur zwei Tage nach der Veröffentlichung der Schwachstelle angegriffen. In Japan identifizierte ESET mehrere Kampagnen der Gruppe Mirrorface, von denen eine in direktem Zusammenhang mit den Wahlen zum Oberhaus des Parlaments stand.

Iranische Gruppen haben Israel im Fokus 
Die wachsende Zahl von Gruppen, die mit dem Iran in Verbindung stehen, konzentrierten ihre Bemühungen weiterhin hauptsächlich auf verschiedene israelische Branchen. ESET-Forscher konnten eine Aktion, die auf ein Dutzend Organisationen abzielte, POLONIUM zuordnen und mehrere bisher nicht dokumentierte Backdoors identifizieren. Unternehmen und Einrichtungen, die in der Diamantenindustrie in Südafrika, Hongkong und Israel tätig sind oder mit ihr in Verbindung stehen, waren das Ziel von Agrius. Die ESET-Experten gehen davon aus, dass es sich dabei um einen Angriff auf die Lieferkette handelt, bei dem eine in Israel ansässige Software missbraucht wird, die in diesem Bereich eingesetzt wird. Bei einer anderen Kampagne in Israel wurden Hinweise auf mögliche Überschneidungen bei der Nutzung von Tools zwischen den Gruppen MuddyWater und APT35 gefunden. ESET Research entdeckte außerdem eine neue Version von Android-Malware in einer von der APT-C-50-Gruppe durchgeführten Kampagne. Sie wurde von einem Nachahmer einer iranischen Website verbreitet und verfügte über begrenzte Spionagefunktionen.

Über den ESET APT Activity Report 
Ergänzend zum ESET Threat Report veröffentlicht ESET Research den ESET APT Activity Report, der einen regelmäßigen Überblick über ESETs Erkenntnisse zu den Aktivitäten von Advanced Persistent Threats (APT) geben soll. Die erste Ausgabe umfasst den Zeitraum Mai bis August 2022. Es ist geplant, dass der Report ab sofort flankierend zum ESET Threat Report erscheint.

Die ESET APT Acitivity Report ist auf WeLiveSecurity verfügbar: https://www.welivesecurity.com/deutsch/2022/11/16/apt-activity-report-t2-2022/

Related Articles

Laserkanone schießt Drohnen zuverlässig ab

Laserkanone schießt Drohnen zuverlässig ab

Mit einem Hochenergielaser von AIM Defence, der gerade einmal so groß ist wie ein Koffer und 50 Kilogramm wiegt, schießt die australische Armee künftig anfliegende Drohnen ab. Damit sollen Veranstaltungen geschützt und Flugkörper mit Sprengstoff unschädlich gemacht...

Herrmann und Eisenreich: Lagebild zur Gewalt gegen Polizeibeamte 2023

Herrmann und Eisenreich: Lagebild zur Gewalt gegen Polizeibeamte 2023

Lagebild zur Gewalt gegen Polizeibeamte 2023 - Innenminister Herrmann und Justizminister Eisenreich besorgt: Höchststand verletzter Polizistinnen und Polizisten - Konsequente Maßnahmen für mehr Schutz - Bayerische Polizeistiftung hilft Betroffenen +++ Im vergangenen...

Eurosatory: AARTOS Drohnendetektionssystem 

Eurosatory: AARTOS Drohnendetektionssystem 

Eurosatory: AARTOS Drohnendetektionssystem von AARONIA überzeugt  als State of the Art Lösung Die Eurosatory, eine der weltweit wichtigsten Messen für Verteidigung und Sicherheit, stand in diesem Jahr unter dem Motto „Protect your Future“. Internationale Militär- und...

Share This