Aktuelles, Branche - geschrieben von dp am Freitag, August 14, 2020 21:51 - noch keine Kommentare
CactusPete: APT-Gruppe setzt auf Bisonal-Backdoor
kaspersky deckt zielgerichtete Kampagne der Cyber-Spionage-Gruppe CactusPete gegen Finanz- und Militärorganisationen in Osteuropa auf
[datensicherheit.de, 14.08.2020] Mithilfe ihrer „Kaspersky Threat Attribution Engine“ konnten nach eigenen Angaben kaspersky-Forscher „mehr als 300 Samples der Backdoor ,Bisonal‘ mit einer Kampagne der Cyber-Spionage-Gruppe ,CactusPete‘ in Verbindung bringen“. Diese jüngste Kampagne der „APT-Gruppe“ (APT: Advanced Persistent Threat) konzentriert sich demnach auf militärische und finanzielle Ziele in Osteuropa. Wie die verwendete „Backdoor“ auf die Geräte der Opfer kommt, sei noch unklar. Bei „CactusPete“, auch bekannt als „Karma Panda“ oder „Tonto Teaь“, handele es sich um eine Cyber-Spionage-Gruppe, die seit mindestens 2012 aktiv sei. Ihre derzeit eingesetzte „Backdoor“ habe Vertreter des Militär- und Finanzsektors in Osteuropa im Visier, um wahrscheinlich Zugang zu vertraulichen Informationen zu erhalten.
Jüngste CactusPete-Aktivitäten von kaspersky-Forschern erstmals im Februar 2020 bemerkt
Diese jüngsten Aktivitäten der Gruppe sei von kaspersky-Forschern erstmals im Februar 2020 bemerkt worden, als sie eine aktualisierte Version der „Bisonal-Backdoor“ entdeckt hätten. Mithilfe der „Kaspersky Threat Attribution Engine“ – einem Analyse-Tool, um Ähnlichkeiten in Schadcodes von bekannten Bedrohungsakteuren zu finden – habe die „Backdoor“ mit mehr als 300 weiteren, „in the wild“ gefundenen Samples in Verbindung gebracht werden können.
Alle Samples seien zwischen März 2019 und April 2020 entdeckt worden, etwa 20 Samples pro Monat. Das lasse darauf schließen, dass sich „CactusPete“ schnell entwickele. So habe die Gruppe auch ihre Fähigkeiten weiter verfeinert und sich dieses Jahr, 2020, Zugang zu komplexerem Code wie „ShadowPad“ verschafft.
CactusPete offenbar auf der Suche nach hochsensiblen Informationen
„Die Funktionalität des schädlichen Payloads lässt darauf schließen, dass die Gruppe auf der Suche nach hochsensiblen Informationen ist.“ Nach der „Backdoor“-Installation auf dem Gerät des Opfers könne die Gruppe über „Bisonal“ verschiedene Programme unbemerkt starten, Prozesse beenden, Dateien hochladen, herunterladen oder löschen und eine Liste der verfügbaren Laufwerke abrufen.
Sobald die Angreifer tiefer in das infizierte System vorgedrungen sind, komme ein Keylogger zum Einsatz, um Anmeldeinformationen zu sammeln und Malware herunterzuladen, die Berechtigungen und somit schrittweise mehr Kontrolle über das System ermögliche.
In der Vergangenheit setzte CactusPete überwiegend auf Spear-Phishing-Mails
Es sei noch unklar, wie die „Backdoor“ in dieser Kampagne auf das Gerät gelangt. In der Vergangenheit habe „CactusPete“ jedoch überwiegend auf Spear-Phishing-Mails gesetzt, die schädliche Anhänge enthielten, um Geräte zu infizieren.
„,CactusPete‘ ist eine interessante APT-Gruppe, weil sie eigentlich nicht so fortgeschritten ist, auch nicht ihre ,Bisonal-Backdoor‘“, berichtet Konstantin Zykov, Sicherheitsexperte bei kaspersky.
CactusPete nutzt erfolgreich Social Engineering
Ihr Erfolg beruht nicht auf komplexer Technologie oder ausgeklügelten Verteilungs- und Verschleierungstaktiken, sondern auf erfolgreichem „Social Engineering“, erläutert Zykov: „Sie schaffen es, hochrangige Ziele zu infizieren, indem ihre Opfer schädliche Anhänge in Phishing-Mails öffnen.“
Dies sei ein gutes Beispiel dafür, warum Phishing weiterhin eine so effektive Methode zum Starten von Cyber-Angriffen sei und „warum es für Unternehmen so wichtig ist, ihre Mitarbeiter darin zu schulen, wie sie solche E-Mails erkennen und wie sie mittels ,Threat Intelligence‘ über die neueste Bedrohung auf dem Laufenden bleiben können“.
kaspersky-Empfehlungen zum Schutz vor APT-Gruppen wie z.B. CactusPete:
- Das Team des „Security Operations Center“ (SOC) sollte stets Zugriff auf die neuesten Bedrohungsinformationen haben, um über neue und zukünftige Tools, Techniken und Taktiken, die von Bedrohungsakteuren und Cyber-Kriminellen verwendet werden, auf dem Laufenden zu bleiben.
- Unternehmen sollten eine EDR-Lösung (wie z.B. „Kaspersky Endpoint Detection and Response“) implementieren, um Vorfälle rechtzeitig erkennen, untersuchen und darauf reagieren zu können.
- Mitarbeiter sollten regelmäßig zum Thema Cyber-Sicherheit geschult werden, da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken begännen. Simulierte Phishing-Angriff könnten dabei helfen, die Mitarbeiter zu testen, zu trainieren und auf das Vorgehen von Cyber-Kriminellen aufmerksam zu machen.
- Etwa mit der „Kaspersky Threat Attribution Engine“ (als ein Beispiel) könnten schädliche Samples schnell mit bekannten Angriffsakteuren verknüpft werden.
Weitere Informationen zum Thema:
kaspersky SECURELIST, Konstantin Zykov, 13.08.2020
CactusPete APT group’s updated Bisonal backdoor / The backdoor was used to target financial and military organizations in Eastern Europe
kaspersky SECURELIST, GreAT, 29.07.2020
APT trends report Q2 2020
datensicherheit.de, 09.07.2020
kaspersky: Neues Geschäftsmodell von Cyber-Kriminellen
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren