Hackergruppen aus Russland, Nordkorea, Iran und China ungebremst aktiv
ESET gibt mit seinem neuen APT (Advanced Persistent Threat) Activity Report einen regelmäßigen Überblick über die Tätigkeiten dieser Hackergruppen und beleuchtet ihr Vorgehen im Detail. Mit Russland verbundene Hacker wie Sandworm, Gamaredon, Turla oder InvisiMole haben weiterhin die Ukraine als Primärziel. Luftfahrt- und Rüstungsunternehmen sind beliebt bei Akteuren, die Verbindung nach Nordkorea haben. Iranische Gruppen fokussieren ihre Aktivitäten auf Israel. Auch ein deutsches Lebensmittelunternehmen war Ziel einer mit China verbundenen APT-Gruppe. Insgesamt konnten die ESET-Forscher keinen Rückgang der Tätigkeiten bei den verschiedenen Hackergruppen feststellen. Der aktuelle Bericht umfasst den Zeitraum von Mai bis August 2022 und ist auf WeLiveSecurity.de (https://www.welivesecurity.com/deutsch/) verfügbar.
„Die Luftfahrt- und Rüstungsindustrie sind nach wie vor von großem Interesse für mit Nordkorea verbündete Gruppen. Beispielsweise hatte es Lazarus auf einen Mitarbeiter eines Luft- und Raumfahrtunternehmens in den Niederlanden abgesehen. Unseren Recherchen zufolge hat die Gruppe eine Schwachstelle in einem legitimen Dell-Treiber ausgenutzt, um in das Unternehmen einzudringen. Wir glauben, dass dies der erste jemals aufgezeichnete Missbrauch dieser Schwachstelle in freier Wildbahn ist“, erklärt Jan-Ian Boutin, Direktor von ESET Threat Research. „Wir haben zudem festgestellt, dass mehrere mit Russland verbündete Gruppen den Messengerdienst Telegram missbraucht haben, um auf Command-and-Control Server zuzugreifen oder um sensible Informationen durchsickern zu lassen. APT-Akteure aus anderen Regionen versuchten ebenfalls, Zugang zu ukrainischen Organisationen zu bekommen, sowohl für Cyberspionage als auch für den Diebstahl von geistigem Eigentum“, sagt Boutin weiter.
Kryptowährungen: weiteres Tätigkeitsfeld für APT-Gruppen
Finanzinstitutionen und Unternehmen, die mit Kryptowährungen arbeiten, waren das Ziel von Kimsuky aus Nordkorea und zwei Kampagnen der Lazarus Gruppe. Eine dieser Aktionen, die von den ESET-Forschern als Operation In(ter)ception bezeichnet wird, wich von ihren üblichen Zielen in der Luftfahrt- sowie Rüstungsindustrie ab. Dabei wurde eine einzelne Person aus Argentinien mit einer als Jobangebot bei Coinbase getarnten Malware angegriffen. ESET entdeckte außerdem, dass die Gruppe Konni eine Technik verwendet, die in der Vergangenheit von Lazarus eingesetzt wurde – eine trojanisierte Version des Sumatra PDF Viewers.
In China ansässige Gruppen waren weiterhin sehr aktiv. Sie nutzten verschiedene Schwachstellen und bisher nicht gemeldete Backdoors. So identifizierte ESET die Linux-Variante einer Backdoor, die von SparklingGoblin gegen eine Universität in Hongkong eingesetzt wurde. Dieselbe Gruppe nutzte in einem anderen Fall eine Confluence-Schwachstelle, um ein Unternehmen der Lebensmittelindustrie in Deutschland und ein Ingenieurbüro in den USA anzugreifen. ESET Research vermutet außerdem, dass eine ManageEngine ADSelfService Plus-Schwachstelle hinter der Kompromittierung eines US-Rüstungsunternehmens steckt. Dessen Systeme wurden nur zwei Tage nach der Veröffentlichung der Schwachstelle angegriffen. In Japan identifizierte ESET mehrere Kampagnen der Gruppe Mirrorface, von denen eine in direktem Zusammenhang mit den Wahlen zum Oberhaus des Parlaments stand.
Iranische Gruppen haben Israel im Fokus
Die wachsende Zahl von Gruppen, die mit dem Iran in Verbindung stehen, konzentrierten ihre Bemühungen weiterhin hauptsächlich auf verschiedene israelische Branchen. ESET-Forscher konnten eine Aktion, die auf ein Dutzend Organisationen abzielte, POLONIUM zuordnen und mehrere bisher nicht dokumentierte Backdoors identifizieren. Unternehmen und Einrichtungen, die in der Diamantenindustrie in Südafrika, Hongkong und Israel tätig sind oder mit ihr in Verbindung stehen, waren das Ziel von Agrius. Die ESET-Experten gehen davon aus, dass es sich dabei um einen Angriff auf die Lieferkette handelt, bei dem eine in Israel ansässige Software missbraucht wird, die in diesem Bereich eingesetzt wird. Bei einer anderen Kampagne in Israel wurden Hinweise auf mögliche Überschneidungen bei der Nutzung von Tools zwischen den Gruppen MuddyWater und APT35 gefunden. ESET Research entdeckte außerdem eine neue Version von Android-Malware in einer von der APT-C-50-Gruppe durchgeführten Kampagne. Sie wurde von einem Nachahmer einer iranischen Website verbreitet und verfügte über begrenzte Spionagefunktionen.
Über den ESET APT Activity Report
Ergänzend zum ESET Threat Report veröffentlicht ESET Research den ESET APT Activity Report, der einen regelmäßigen Überblick über ESETs Erkenntnisse zu den Aktivitäten von Advanced Persistent Threats (APT) geben soll. Die erste Ausgabe umfasst den Zeitraum Mai bis August 2022. Es ist geplant, dass der Report ab sofort flankierend zum ESET Threat Report erscheint.
Die ESET APT Acitivity Report ist auf WeLiveSecurity verfügbar: https://www.welivesecurity.com/deutsch/2022/11/16/apt-activity-report-t2-2022/
