Aktuelles, Branche - geschrieben von dp am Mittwoch, Dezember 9, 2020 12:39 - noch keine Kommentare
Cybereason: Neue Malware missbraucht facebook und Dropbox
Bislang unbekannte Malware-Varianten im Nahen Osten für Spionage eingesetzt
[datensicherheit.de, 09.12.2020] Cybereason hat nach eigenen Angaben eine aktive Spionage-Aktion identifiziert, die demnach drei bislang unbekannte Malware-Varianten einsetzt. Die aktuell aufgedeckte Operation nutze „facebook“, „Dropbox“, „Google Docs“ und „Simplenote“, um über einen Command-and-Control-Server direkten Zugriff auf die Computer der Opfer zu erlangen und vertrauliche Daten abzuziehen.
Neue Malware idenifiziert: Backdoors SharpStage und Dropbook sowie Downloader MoleNet
Cybereason führt die Spionagekampagne auf „Molerats“ (auch als „The Gaza Cybergang“ bekannt) zurück: Eine arabisch-sprachige, politisch motivierte APT-Gruppe (Advanced Persistent Threat), die seit 2012 im Nahen Osten aktiv sei. Anfang 2020 hätten Cybereason-Forscher bereits über die Entdeckung der zuvor unbekannten „Spark“- und „Pierogi“-Hintertüren berichtet, welche als Teil eines gezielten Angriffs von „Molerats“ auf palästinensische Beamte gewertet worden sei.
Die jüngste Aktion setze zwei bislang unbekannte Backdoors namens „SharpStage“ und „Dropbook“ sowie einen Downloader namens „MoleNet“ ein. Diese Kampagne nutze Phishing-Dokumente, welche verschiedene Themen im Zusammenhang mit aktuellen Ereignissen im Nahen Osten behandele – darunter ein angeblich geheimes Treffen zwischen seiner Königlichen Hoheit Mohammed bin Salman, Kronprinz von Saudi-Arabien, dem US-Außenminister, Mike Pompeo, und dem israelischen Premierminister, Benjamin Netanjahu.
Wichtigste Cybereason-Erkenntnisse zu neuen Malware-Varianten:
- Neue Spionage-Tools entwickelt von „Molerats“
Cybereason habe mit „SharpStage“ und „DropBook“ zwei neuen Backdoors sowie den „MoleNet“-Downloader identifiziert. Diese ermöglichten es den Angreifern, beliebigen Code auszuführen und vertrauliche Daten auf infizierten Computern zu sammeln und abzuziehen. - Missbrauch von „facebook“, „Google Docs“, „Dropbox“ und „Simplenote“
Die neuentdeckte „DropBook“-Backdoor verwende gefälschte „facebook“-Konten oder „Simplenote“ zur Steuerung und Kontrolle anderer Server. Demgegenüber missbrauchten „SharpStage“ und „DropBook“ einen „Dropbox“-Kunden, um gestohlene Daten zu übertragen und ihre Spionage-Tools zu speichern. - Politische Phishing-Themen
E-Mails, mit denen die Opfer angelockt worden seien, hätten sich unter anderem mit den israelisch-saudischen Beziehungen, den Hamas-Wahlen, mit Nachrichten zu palästinensischen Politikern und anderen regionalen Ereignissen beschäftigt (darunter ein geheimes Treffen zwischen dem Kronprinzen von Saudi-Arabien, dem US-Außenminister und dem israelischen Premierminister). - Verbindungen zu früheren Nahost-Kampagnen
Die neuentdeckten, schon in der Vergangenheit „Molerats“ zugeschriebenen Backdoors seien in Verbindung mit der „Spark“-Backdoor verwendet worden. Die Angreifer hätten diese neuen Spionage-Tools auch genutzt, um zusätzliche Payloads herunterzuladen: Darunter die berüchtigte, zuvor von „Molerats“ verwendete „Open-Source-Quasar RAT“. - Auf den gesamten Nahen Osten ausgerichtet
Der Angriff sei hauptsächlich in den Palästinensischen Gebieten, den Vereinigten Arabischen Emiraten, Ägypten und der Türkei beobachtet worden. Angesichts der Art der Phishing-Inhalte gehe Cybereason davon aus, „dass die Zielgruppe aus hochrangigen politischen Persönlichkeiten und Regierungsbeamten im Nahen Osten besteht“.
Politisch brisante Ereignisse als Aufhänger für Malware-Infektionen und Phishing-Kampagnen
„Wenig überraschend ist, wie Bedrohungsakteure politisch brisante Ereignisse ausnutzen, um ihre Phishing-Kampagnen anzuheizen. Aber es ist besorgniserregend, dass Soziale Medien zunehmend für Command-and-Control-Anweisungen und andere legitime Cloud-Dienste für Data-Extrusion-Aktivitäten missbraucht werden“, so Lior Div, Mitgründer und „CEO“ von Cybereason.
Für die Seite der Verteidiger bedeute dies, in Bezug auf potenziell schädlichen Netzwerkverkehr in Verbindung mit legitimen Services besonders achtsam zu sein. Verschleierte Angriffe dieser Art ließen sich ohne den nötigen Kontext nicht erkennen. Deshalb versetze Cybereason Sicherheitsexperten in die Lage, betriebs-zentriert anstatt alarm-zentriert zu arbeiten. Div: „Das erlaubt, Beziehungen zwischen scheinbar beziehungslosen Vorkommnissen im Netzwerk und darüber hinaus herzustellen.“
Weitere Informationen zum Thema:
datensicherheit.de, 04.10.2019
Ransomware-Attacken: FBI gibt seltene Warnung heraus
cybereason, 09.12.2020
New Malware Arsenal Abusing Cloud Platforms in Middle East Espionage Campaign
Aktuelles, Experten, Veranstaltungen - Mrz 23, 2023 19:42 - noch keine Kommentare
Umstellung auf die Sommerzeit 2023: Internationale Internetverwaltung wacht über richtige Uhrzeit
weitere Beiträge in Experten
- Überwachungsbedürftige Anlagen: Besserer Schutz vor Cyber-Angriffen möglich und nötig
- Datensicherheit wie Gesundheit: Alle wollen sie – aber möglichst ohne Anstrengung
- Ende einer Ära: Datenschutz-Pionier Spiros Simitis gestorben
- Wenn die Verfügbarkeit zum Fluch zu werden droht: E-Mail-Flut in beruflichen Postfächern
- Cloud Bursting: Vor- und Nachteile für Betrieb und IT-Sicherheit
Aktuelles, Branche, Studien - Mrz 22, 2023 18:20 - noch keine Kommentare
Ransomware: Jede Lösegeld-Zahlung an Angreifer finanziert neun zukünftige Attacken
weitere Beiträge in Branche
- Palo Alto Networks: Warnung vor neuem Ransomware-Stamm Trigona
- Cloud Bursting: Vor- und Nachteile für Betrieb und IT-Sicherheit
- ChatGPT4: Sicherheitsanalyse zeigt Szenarien für beschleunigte Cyber-Kriminalität
- CVE-2023-23397: Tückische Outlook-Schwachstelle schlägt hohe Wellen
- Identity Lifecycle Management – das A und O der IT-Sicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren