[datensicherheit.de, 24.03.2024] In der hochgradig digitalen Welt von heute seien Cyber-Sicherheitsbedrohungen allgegenwärtig und die Methoden der Angreifer entwickelten sich ständig weiter. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, berichtet hierzu über einen Vorfall: „Eine kürzlich identifizierte Cyber-Spionagekampagne zeigt auf alarmierende Weise, wie hochspezialisierte Angreifer staatliche Einrichtungen und Diplomaten ins Visier nehmen. Diese Bedrohungsakteure nutzten gefälschte Einladungen zu Weinproben als Köder, um mit dieser einfachen und doch effektiven Technik gezielt europäische Diplomaten anzugreifen.“

Foto: KnowBe4

Dr. Martin J. Krämer: Vorgehensweise macht es für herkömmliche Sicherheitssysteme und -protokolle schwierig, die Cyber-Bedrohung zu erkennen…

Cyber-Angriffe dieser Art bereits im Juli 2023 beobachtet

Diese Kampagne – mit dem Codenamen „SPIKEDWINE“ – bedient sich demnach gefälschter Einladungen aus Lettland als pdf-Datei zu einer angeblichen Weinprobe, die sich als Schreiben des indischen Botschafters für eine Weinverkostung im Februar 2024 tarnt.

Diese Datei enthalte einen Link zu einem gefälschten Fragebogen, der Benutzer zu einem bösartigen zip-Archiv auf einer kompromittierten Website umleite und somit die Infektionskette in Gang setze.

„Die Tatsache, dass solche Angriffe bereits im Juli 2023 beobachtet wurden, unterstreicht die Hartnäckigkeit und den langfristigen Ansatz dieser möglicherweise staatlich geförderten Akteure“, kommentiert Dr. Krämer. Die technischen Aspekte dieser Kampagne offenbarten zudem ein „hohes Maß an Raffinesse“.

Organisationen mit hohen Sicherheitsanforderungen wie diplomatische Einrichtungen sollten Cyber-Sicherheitsmaßnahmen verstärken

Die Verwendung fortschrittlicher Taktiken, Techniken und Verfahren (TTPs) in Kombination mit einer sorgfältig aufgebauten C2-Infrastruktur (Command and Control) zeige, dass die Angreifer über erhebliche Ressourcen und Fachwissen verfügten. Dr. Krämer warnt: „Diese Vorgehensweisen machen es für herkömmliche Sicherheitssysteme und -protokolle schwierig, die Bedrohung zu erkennen und abzuwehren.“

Angesichts dieser komplexen Bedrohungslandschaft sei es unerlässlich, dass Organisationen, insbesondere jene mit hohen Sicherheitsanforderungen wie diplomatische Einrichtungen, ihre Cyber-Sicherheitsmaßnahmen verstärkten. „Dies umfasst nicht nur technische Lösungen, sondern auch die Sensibilisierung der Mitarbeiter“, betont Dr. Krämer.

Darüber hinaus seien regelmäßige Sicherheitsüberprüfungen, die Implementierung von Multi-Faktor-Authentifizierung (MFA) und die Aktualisierung von Sicherheitsrichtlinien unerlässlich, um das Risiko eines erfolgreichen Angriffs zu minimieren.

Wachsamkeit gegenüber Cyber-Angreifern als wichtige Schutzmaßnahme

Die „SPIKEDWINE“-Kampagne sei ein klares Beispiel dafür, wie Cyber-Angreifer ständig neue Wege fänden, um hochsichere Netzwerke zu infiltrieren. Es sei eine wichtige Erinnerung an die Notwendigkeit, wachsam zu bleiben und die Abwehrmechanismen zu stärken.

Durch die Kombination aus technischen Sicherheitsmaßnahmen und umfassenden Schulungen zur Sensibilisierung der Mitarbeiter könnten Organisationen eine robuste Verteidigung gegen die immer raffinierteren Methoden Cyber-Kriminellen aufbauen. „Im Endeffekt ist es eine unumstößliche Wahrheit, dass absoluter Schutz in der Cyber-Sicherheit eine Utopie bleibt“, so Dr. Krämer.

Doch durch einen integrativen Ansatz, bei dem Nutzer keinen Risikofaktor, sondern stattdessen das stärkste Glied der Sicherheitskette darstellten, könnten Unternehmen eine „hochwirksame Abwehr gegen die vielschichtigen Gefahren der heutigen digitalen Bedrohungslandschaft“ errichten.

Weitere Informationen zum Thema:

Zscaler Blog, Sudeep Singh & Roy Tay, 27.02.2024
European diplomats targeted by SPIKEDWINE with WINELOADER

KnowBe4
The Ultimate Guide to Security Awareness Training / Old-school awareness training never really hacked it

[datensicherheit.de, 18.07.2019] ESET hat nach eigenen Angaben eine Attacke auf Auslandsvertretungen und Regierungsinstitutionen in Belgien, der Slowakei, Brasilien, Chile und Guatemala aufgedeckt. Im aktuellen Fall hatte der europäische IT-Sicherheitshersteller demnach eine bisher unbekannte Backdoor namens „Okrum“ entdeckt. Die berüchtigte Gruppe „Ke3chang“ führe seit vielen Jahren Spionageangriffe auf Regierungen durch. Das Hauptziel sei dabei die Europäischen Union (EU). In der Vergangenheit sei vermutet worden, dass „Ke3chang“ hinter Angriffen auf EU-Abgesandte im Umfeld des „G-20-Gipfels“ 2013 und hinter dem Diebstahl von militärischen Unterlagen in Großbritannien gesteckt habe.

Ke3chang-Gruppe auch 2019 aktiv

Bereits in der Vergangenheit sei vermutet worden, dass „Ke3chang“ hinter Angriffen auf EU-Abgesandte im Umfeld des „G-20-Gipfels“ 2013 gesteckt habe. „Zudem soll sie 2018 Spionageangriffe auf geheime militärische Daten der britischen Regierung durchführt haben.“ Im Zuge der aktuellen Angriffe hätten ESET-Forscher eine neue Malware-Familie sowie eine bisher unbekannte, von der Gruppe hierfür eingesetzte Backdoor namens „Okrum“ entdeckt.
ESET habe die Spuren der Gruppe seit mehreren Jahren verfolgt und gehe davon aus, „dass sie von China aus operiert“. Hierzu habe ESET nun eine Studie veröffentlicht, welche die Ergebnisse zu den Aktivitäten in den europäischen Ländern zusammenfassen soll. „Auch 2019 ist die Gruppe aktiv – im März haben wir bereits wieder Spuren von ,Ke3chang‘ gesehen“, erläutert Thomas Uhlemann, „Security Specialist“ bei ESET. Es sei nicht so leicht, die Tätigkeiten solcher Hacker zurückzuverfolgen. Dahinter stecke sehr viel „Detektiv-Arbeit“, so Uhlemann.

Ke3chang hat zunächst Ziele in der Slowakei angegriffen

Ende 2016 hätten ESET-Forscher erstmals die neue und bisher unbekannte Backdoor „Okrum“ entdeckt. Die damit angegriffenen Ziele hätten zunächst in der Slowakei gelegen und seien vorher mit einer älteren Backdoor der „Ke3chang“-Gruppe namens „Ketrican“ attackiert worden. Hierdurch seien die Sicherheitsexperten der Malware auf die Spur gekommen und hätten die Fährte zurückverfolgen können.
„Okrum“ habe die gleichen Ziele wie „Ketrican“ gehabt und verhalte sich ähnlich wie andere Malware dieser Spionagegruppe. So sei das Schadprogramm beispielsweise nur mit einfachen Backdoor-Befehlen ausgestattet und benötige die manuelle Eingabe von Shell-Befehlen sowie die Auführung externer Tools für seine bösartigen Aktivitäten – dies sei „das Standardverfahren der ,Ke3chang‘-Gruppe“.

ESET-Forscher behalten Ke3chang-Gruppe im Blick

Seit vielen Jahren befassten sich ESET-Forscher detailliert mit dem Vorgehen dieser Gruppe. Die Hacker attackierten gezielt europäische Länder. Ein besonderes Interesse liege dabei an der Slowakei, aber auch Kroatien, Tschechien und andere Ländern seien betroffen gewesen.
ESET-Forscher hätten die bei diesen Angriffen verwendete Malware analysiert und herausgefunden, dass sie mit bekannten, der „Ke3chang“-Gruppe zugeschriebenen Malware-Familien verknüpft gewesen sei.

Weitere Informationen zum Thema:

welivesecurity BY eseT, 18.07.2019
Okrum-Backdoor gegen diplomatische Einrichtungen in Europa / ESET-Forscher entdeckten Cyber-Angriffe auf diplomatische Einrichtungen in Europa…

datensicherheit.de, 10.07.2019
ESET-Forscher warnen vor Zero-Day-Exploit in Windows

datensicherheit.de, 21.06.2019
LoudMiner: Crypto-Trojaner attackiert Musiker

datensicherheit.de, 23.05.2019
Windows-Betriebssysteme: Kritische Sicherheitslücke droht

datensicherheit.de, 15.05.2019
Windows-Schwachstelle: BSI warnt vor möglichen wurmartigen Angriffen

datensicherheit.de, 20.09.2018
IT-Sicherheit: Priorisierung beim Schwachstellenmanagement nötig