[datensicherheit.de, 04.01.2024] McAfee betont in einer Stellungnahme zum Jahresauftakt 2024, dass uns das neue Jahr u.a. die Gelegenheit bietet, „unsere Online-Gewohnheiten unter die Lupe zu nehmen“. Konkret wird in diesem Zusammenhang auf den von McAfee nach eigenen Angaben zu Jahresbeginn entdeckten neuen Malware-Typ namens „Xamalicious“ eingegangen, welcher demnach in 25 „Android“-Apps enthalten ist. Diese Apps seien inzwischen aus dem „Google Playstore“ entfernt worden, aber: „Falls ,Android’-Nutzer sie bereits heruntergeladen haben, empfiehlt McAfee dringend, Maßnahmen zu ergreifen!“ Diese neue Malware sei in ganz Europa – insbesondere in Deutschland, Großbritannien und Spanien – beobachtet worden, aber auch in den USA, in Brasilien und Argentinien.

McAfee benennt betroffene Apps, welche dringend gelöscht werden sollten

„Xamalicious“ nutze ein Open-Source-Framework namens „Xamarin“, um sich auf Geräten zu verstecken. So könne die Malware die volle Kontrolle über das Gerät übernehmen und betrügerische Aktionen wie das Anklicken von Werbung, die Installation von Apps und andere finanziell motivierte Aktionen ohne Zustimmung des Benutzers durchführen. Weitere Einzelheiten hierzu seien im technischen Blog von McAfee zu finden.

Einige der betroffenen Apps, die McAfee dringend zu löschen empfiehlt, sind (ohne Gewähr):

• „Essential Horoscope for Android“
• „3D Skin Editor for PE Minecraft“
• „Logo Maker Pro“
• „Auto Click Repeater“
• „Count Easy Calorie Calculator“
• „Sound Volume Extender“
• „LetterLink“
• „NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS“
• „Step Keeper: Easy Pedometer“
• „Track Your Sleep“
• „Sound Volume Booster“
• „Astrological Navigator: Daily Horoscope & Tarot“
• „Universal Calculator“

McAfee-Tipps zum Schutz eigener Online-Daten und der -Identität:

• Zum Download anstehende Apps sollten vorab „mit einem kritischen Auge“ betrachtet werden – „achten Sie auf schlechte Grammatik in der App-Beschreibung, lesen Sie die Bewertungen und prüfen Sie, ob der Entwickler auch andere Apps veröffentlicht hat, die gut bewertet wurden!“
• Die Nutzung von Apps, welche Zugänglichkeitsdienste erfordern, sollte vermieden werden – „es sei denn, es besteht ein echter Bedarf für die Nutzung“.
• Es sollte sichergestellt werden, dass das eigene mobile Gerät mit umfassenden Sicherheitslösungen geschützt ist, welche Funktionen zur Überwachung und Blockierung potenziell bösartiger Links und Apps enthalten.
• „Durch den Einsatz von ,McAfee Mobile Security’-Produkten können Anwender ihre Geräte noch besser schützen und die mit dieser Art von Malware verbundenen Risiken mindern, was zu einem sichereren Erlebnis führt.“

Weitere Informationen zum Thema:

McAfee, Fernando Ruiz, 22.12.2023
Stealth Backdoor “Android/Xamalicious” Actively Infecting Devices

[datensicherheit.de, 01.09.2022] Bitdefender hat nach eigenen Angaben eine Studie veröffentlicht, welche demnach eine ausgeklügelte Wirtschaftsspionage-Kampagne gegen ein US-amerikanisches Technologieunternehmen beschreibt. Dieser Angriff habe über mehrere Monate stattgefunden und sich auf die Exfiltration von Daten konzentriert. „Für den Angriff wurde ein ausgedehntes Netzwerk von mehreren hundert IP-Adressen (die meisten davon aus China) verwendet.“ Im Rahmen der Studie kommt Bitdefender zu dem Schluss, „dass diese Art von Angriffen wahrscheinlich zunehmen wird und rät Unternehmen in der Industrie, im Energiesektor, im Finanzwesen, in der Verteidigung und in anderen kritischen Sektoren, sich in höchste Alarmbereitschaft zu versetzen“.

Spionagekampagne auf einen Bitdefender-Partner als Ursprung der Studie

Ursprung der Studie sei eine Spionagekampagne auf einen Bitdefender-Partner, einen US-amerikanischen Hardware-Hersteller mit weniger als 200 Mitarbeitern, gewesen. „Der Angriff erstreckte sich über mehrere Monate und umfasste die Ausnutzung bekannter Sicherheitslücken mit ausgefeilten Techniken zur Datenextraktion.“

Solche sogenannten hybriden Angriffe kämen immer häufiger vor. Diese kombinierten opportunistische Taktiken, wie etwa das automatisierte Scannen von Schwachstellen, mit ausgefeilten Techniken, wie etwa die Extraktion wichtiger Unternehmensdaten. Die Kompromittierung erfolge bei solchen Angriffen unter Verwendung automatischer Scanner, deren Ergebnisse dann von einem Menschen geprüft würden, „um festzustellen, ob es sich lohnt, die Daten des Ziels mit komplexen Techniken gezielt anzugreifen und zu extrahieren“.

Bitdefender warnt vor Zugriff über bekannte, häufig genutzte Sicherheitslücke

Der anfängliche Infektionsvektor sei in diesem Fall eine dem Internet zugewandte Instanz des Webservers „ZOHO ManageEngine ADSelfService Plus“, welche über eine bekannte, nicht gepatchte, häufig genutzte Schwachstelle (CVE-2021-40539) ausgenutzt worden sei. „Dies ermöglichte es den Akteuren, die Sicherheitsauthentifizierung zu umgehen und manuell einen beliebigen Code auszuführen.“ Nachdem sich die Kriminellen Zugriff verschafft hatten, setzten sie laut Bitdefender eine Web-Shell in einem Verzeichnis ein, auf das sie über das Internet zugreifen konnten, und nutzten sie, um aus der Ferne auf einen Webserver zuzugreifen.

Für den Angriff sei ein riesiges Netzwerk mit mehreren hundert IP-Adressen (die meisten davon aus China) verwendet worden. Es seien zwar Sicherheitswarnungen generiert worden – der „raffinierte Angriff“ sei jedoch mit manuellen Befehlen erfolgt und daher unentdeckt geblieben.

Sicherheitslücken 2021 verdoppelt: Bitdefender sieht sich fortsetzenden Trend

Der in diesem Fall beschriebene Angriff decke sich mit den Ergebnissen des jüngsten „Data Breach Investigations Report 2022“, wonach sich die Zahl der Sicherheitsverletzungen – durch Ausnutzung von Sicherheitslücken verursacht – im vergangenen Jahr, 2021, verdoppelt habe. Bitdefender geht davon aus, „dass sich dieser Trend fortsetzen wird“. Angreifer konzentrierten sich vermehrt eher auf eine Verletzung der Vertraulichkeit (Datenexfiltration) als auf eine Verletzung der Verfügbarkeit (Einsatz von Ransomware). Unternehmen jeder Größe, „die als wertvolles Ziel oder als Weg zu einem größeren Ziel angesehen werden“, seien somit gefährdet.

„Unternehmen jeder Art und Größe müssen über eine mehrschichtige Sicherheit verfügen, die Funktionen zur Vorbeugung, Erkennung und Reaktion auf Bedrohungen umfasst. In diesem Fall geschah der Angriff über eine bekannte Webserver-Sicherheitslücke und wandte dann ausgeklügelte manuelle Techniken zur Kompromittierung von Endpunkten und zur Datenexfiltration an“, berichtet Bob Botezatu, „Director, Threat Research“ bei Bitdefender. Er führt aus: „Dies ist ein hervorragendes Beispiel dafür, warum die Nutzung von Diensten für ,Managed Detection and Response’ in der heutigen Bedrohungslandschaft unerlässlich ist. Unabhängig davon, wie groß oder klein ein Unternehmen ist.“

Weitere Informationen zum Thema:

Bitdefender
WHITEPAPER / Security Hiding in the Shadows: Investigation of a Corporate Espionage Attack

Verizon
Data Breach Investigations Report 2022

[datensicherheit.de, 14.07.2022] IT-Sicherheitsexperten von Proofpoint konnten nach eigenen Angaben beobachten, wie verschiedene staatlich unterstützte Hacker-Gruppen Journalisten ins Visier nehmen, um Spionage zu betreiben, Malware zu verbreiten und Netzwerke von Medienorganisationen zu infiltrieren.

Journalisten und Medienorganisationen attraktive Ziele für Cyber-Kriminelle

Journalisten und Medienorganisationen sind demnach attraktive Ziele für Cyber-Kriminelle. Proofpoint-Forscher hätten beobachtet, „dass APT-Cyber-Kriminelle, insbesondere solche, die von einem Staat gesponsert werden oder mit einem Staat verbunden sind, sich routinemäßig als Journalisten oder Medienorganisationen ausgeben oder diese ins Visier nehmen“.

Der Mediensektor und die dort tätigen Personen könnten Türen öffnen, die anderen verschlossen bleiben. „Ein gut getimter, erfolgreicher Angriff auf das E-Mail-Konto eines Journalisten kann Einblicke in sensible, (noch) unveröffentlichte Geschichten und die Identifizierung von Quellen liefern.“

Phishing-Angriffe auf Journalisten oft für Spionagezwecke

Ein kompromittiertes Konto könne dazu verwendet werden, Desinformationen oder staatsfreundliche Propaganda zu verbreiten, Desinformationen in Kriegs- oder Pandemiezeiten zu liefern oder eine politisch aufgeladene Atmosphäre zu beeinflussen.

„Am häufigsten werden Phishing-Angriffe, die auf Journalisten abzielen, für Spionagezwecke genutzt oder um wichtige Einblicke in das Innenleben einer anderen Regierung, eines Unternehmens oder eines anderen Bereichs von staatlicher Bedeutung zu erlangen.“

Weltweite Versuche, Journalisten und Medienpersönlichkeiten anzugreifen oder auszunutzen

Die von Proofpoint seit Anfang 2021 untersuchten Daten zeigten, dass Cyber-Kriminelle weltweit versuchten, Journalisten und Medienpersönlichkeiten in einer Vielzahl von Kampagnen anzugreifen oder auszunutzen, „darunter auch solche, die auf sensible politische Ereignisse in den Vereinigten Staaten abgestimmt sind“.

Einige Kampagnen zielten auf Medien ab, um einen nachrichtendienstlichen Wettbewerbsvorteil zu erlangen, wiederum andere auf Journalisten, welche mit ihrer Berichterstattung ein Regime in ein schlechtes Licht rückten, oder verbreiteten Desinformationen. In ihrem Bericht konzentrierten sich die Proofpoint-Experten auf die Aktivitäten einer Handvoll APT-Akteure (Advanced Persistent Threats), welche nach ihrer Einschätzung mit den staatlichen Interessen Chinas, Nordkoreas, des Irans und der Türkei verbunden seien.

Einige der wesentlichen Ergebnisse der Proofpoint-Untersuchung zu Angriffen auf Journalisten und Medien:

• Medienschaffende seien ein attraktives Ziel, weil sie exklusiven Zugriff auf Informationen und Einblicke in Themen hätten, welche potenziell die Staatssicherheit beeinträchtigen könnten.
• APT-Akteure nähmen regelmäßig Journalisten und Medienorganisationen ins Visier oder gäben sich als solche aus, um ihre staatlich unterstützten Kampagnen voranzubringen.
• Die identifizierten Kampagnen setzten eine Vielzahl von Techniken ein, von der Nutzung von „Web Beacons“ bis hin zum Versand von Malware, um einen ersten Zugang zum Netzwerk der Zielperson oder -organisation zu erhalten.
• Der Fokus von APTs auf die Medien werde wahrscheinlich niemals nachlassen, weshalb es für Journalisten wichtig sei, sich selbst, ihre Quellen und die Integrität ihrer Informationen zu schützen.
• Von China, Nordkorea, dem Iran und der Türkei unterstützte APT-Gruppen hätten es auf die beruflichen E-Mails und Social-Media-Konten von Journalisten abgesehen, um an sensible Informationen zu gelangen und sich weiteren Zugang zu deren Organisationen zu verschaffen.
• Verschiedene mit dem Iran verbündete Cyber-Kriminelle wie „Charming Kitten“ (TA453) und „Tortoiseshell“ (TA456) hätten sich als Journalisten von Publikationen wie „The Guardian“, „The Sun“, „Fox News“ und „The Metro“ ausgegeben. Die Angriffe richteten sich auf Akademiker und Außenpolitikexperten weltweit, um Zugang zu sensiblen Informationen zu erhalten.
• Die mit China verbündete Gruppe „TA412“ habe ihre Aktivitäten nur wenige Tage vor dem Angriff auf das US-Kapitol am 6. Januar 2021 verstärkt. „Proofpoint-Forscher beobachteten in dieser Zeit eine Konzentration der Gruppe auf Washington D.C. und Korrespondenten des Weißen Hauses.“ Dieselbe Gruppe habe Anfang 2022 ihre Angriffe wieder aufgenommen und sich auf Reporter konzentriert, „die über das Engagement der USA und Europas im Krieg Russlands gegen die Ukraine berichten“.
• Die nordkoreanische „Lazarus“-Gruppe (TA404) habe ein auf Stellenangebote bezogenes US-Medienunternehmen mit einer Phishing-Kampagne angegriffen. „Dieser Angriff erfolgte, nachdem die Organisation einen Artikel veröffentlicht hatte, in dem der nordkoreanische Führer Kim Jong Un kritisiert wurde – ein bekanntes Motiv für Aktionen von mit Nordkorea verbündeten APT-Akteuren.“
• Mit dem türkischen Staat verbündete Cyber-Kriminelle hätten ihre Bemühungen darauf konzentriert, sich Zugang zu den Social-Media-Konten von Journalisten zu verschaffen – „wahrscheinlich mit dem Ziel, Pro-Erdogan-Propaganda zu verbreiten und weitere Kontakte zu knüpfen“.

Weitere Informationen zum Thema:

proofpoint, 14.07.2022
Above the Fold and in Your Inbox: Tracing State-Aligned Activity Targeting Journalists, Media

[datensicherheit.de, 08.09.2021] Malwarebytes berichtet in einer aktuellen Stellungnahme, dass „wer bereits eine gesunde Skepsis hegt, dass der Datenschutz bei der Smartphone-Nutzung zu wünschen übrig lässt“, durch den zufälligen Fund des Malwarebytes-Sicherheitsexperten Pieter Arntz bestätigt werde.

Laut Malwarebytes wurde Arntz über Aufenthaltsorte seiner Frau auf dem Laufenden gehalten

Arntz musste demnach nämlich feststellen, dass er den Aufenthaltsort seiner Frau ausspionieren konnte – ohne Spionage-Tool, völlig kostenlos. Übeltäter sei hierbei das Google-Account gewesen. Er habe auf dem „Android“-Smartphone seiner Frau eine App installiert und sich zu diesem Zweck auf dem Gerät in seinem Google-Account eingeloggt:
„In der Folge hielt ihn sein eigenes ,Android‘-Smartphone über die Aufenthaltsorte seiner Frau auf dem Laufenden. Einziger Hinweis für seine Frau auf die ungewollte Überwachung war das Profilbild seines angemeldeten Kontos, wenn sie die ,Google Play‘-App verwendete.“ Selbst nach dem Ausloggen aus „Google Play“ am Smartphone seiner Frau habe er weiterhin regelmäßig Updates über ihren Standort erhalten.
Nach weiterem Nachforschen habe er herausgefunden, dass sein „Google Account“ jedes Mal zu den Smartphone-Accounts seiner Frau hinzugefügt werde, wenn er sich im „Google Play Store“ einloggt, „aber nicht entfernt wird, wenn er sich wieder ausloggt“.

Malwarebytes Gründungsmitglied der Koalition gegen Stalkerware

Malwarebytes ist nach eigenen Angaben eines der Gründungsmitglieder der Koalition gegen Stalkerware (CAS) – mit dem Ziel, Menschen vor Spionage zu schützen.
Malware-Scanner seien jedoch darauf beschränkt, Anwendungen zu finden, welche „den Benutzer ausspionieren und die Informationen an andere Stellen weiterleiten“. Dies treffe in diesem Fall nicht zu, denn es handele sich hierbei nicht um eine Form von Stalkerware, und es werde auch nicht versucht, die Zustimmung des Benutzers zu umgehen. „Vielmehr ist es ein Fehler im Design.“
Eva Galperin, Direktorin für Cyber-Sicherheit der Electronic Frontier Foundation und auch Gründungsmitglied der CAS, findet, dass dieser Fehler zeige, warum es für Technologieentwickler so wichtig sein müsse, Situationen häuslicher Gewalt bei der Produktentwicklung zu berücksichtigen. Der Begriff „Tech-enabled abuse“ habe sich zu der Problematik bereits etabliert.

Malwarebytes empfiehlt Löschung fremden Google-Kontos vom Smartphone

„Die Sicherheitslücke macht deutlich, wie wichtig Qualitätssicherung und Benutzertests sind, die auch Situationen häuslichen Missbrauchs berücksichtigen und die Weitergabe von Standortdaten ernst nehmen“, betont Galperin und führt weiter aus: „Eine der gefährlichsten Situationen bei häuslicher Gewalt ist die Zeit, in der das Opfer versucht, ihr digitales Leben von dem des Täters zu trennen. Das ist eine Zeit, in der die Daten des Opfers besonders anfällig für diese Art von Fehlkonfigurationen sind, und die möglichen Folgen sind sehr ernst.“
Google habe das Problem bisher nicht als Fehler deklariert. „Darum besteht aktuell die einzige Möglichkeit, sich zu schützen, in der Überprüfung, welche Konten auf einem Smartphone hinzugefügt wurden.“ Bisher sei nicht eindeutig, ob es auch andere Apps gebe, „die mit dem Google-Konto und nicht mit dem Smartphone verknüpft sind“. Auch diese Apps könnten andere Personen als der Besitzer dazu nutzen, Informationen abzufragen.
Unter „Einstellungen > Konten und Backups > Konten verwalten“ werde das Google-Konto aufgelistet. Nach dem Klick auf das zu entfernende Konto werde die entsprechende Option angezeigt. „Nachdem Arntz sein Google-Konto vom Smartphone seiner Frau entfernte, wurden auch die Standortdaten nicht mehr geteilt.“

Weitere Informationen zum Thema:

datensicherheit.de, 29.07.2021
Манифест.docx – Malwarebytes warnt vor neuer Cyber-Doppel-Attacke

Malwarebytes LABS, Pieter Arntz, 01.09.2021
Google Play sign-ins can be abused to track another person’s movements

AV-TEST Institut untersuchte Security-Apps gegen Stalkerware

[datensicherheit.de, 20.07.2021] Laut einer aktuellen Stellungnahme von AV-TEST bieten immer mehr „dubiose Apps“ ihre Dienste für „Spionage oder Stalking“ an, um Unwissende, Bekannte oder (Ex)Partner heimlich zu überwachen. Die gute Nachricht: „Mit einer guten Sicherheits-App für ,Android‘ entlarvt man auch diese perfiden Angreifer.“

Abbildung: AV-TEST Institut

Ergebnis der Überprüfung des Labors von AV-TEST, was Security-Apps leisten

Nachfrage nach spionierender Stalkerware hoch

Der Markt für „Android“-Apps, mit denen sich Geräte heimlich überwachen, verfolgen und ausspionieren lassen, wachsw stetig. Die Nachfrage nach sogenannten spionierenden Stalker-Apps sei hoch, da sich damit „Android“-Geräte, wie Smartphones oder Tablets überwachen ließen.

Einmal installiert, versteckt sich die Stalkerware oder tarnt sich

Das Perfide dabei: „Einmal installiert, versteckt sich die Überwachungs-Software auf dem Gerät oder tarnt sich manchmal als harmlose Service- oder Spiele-App.“ Die Möglichkeiten dieser Apps auf dem Gerät seien groß, da sie oft im Administratormodus arbeiteten und somit die höchsten Rechte auf einem Gerät hätten.

AV-TEST hat überprüft, was Security-Apps gegen Stalkerware leisten

„Wer sich unsicher ist und sich überwacht fühlt, kann sich selbst helfen.“ Eine gute Security-App erkenne die Überwachungs-Apps zum Spionieren oder Stalken. Das Labor von AV-TEST hat nach eigenen Angaben überprüft, was diese Security-Apps leisten und die Erkenntnisse in einem aktuellen Blog-Artikel publiziert – Übersicht über die Inhalte dieses Beitrags:

• Im Labor enttarnt: Stalkerware zur Spionage
• Sind spionierende Stalkerware-Apps erlaubt?
• Wie bemerkt man spionierende Stalkerware?
• Gefundene Stalkerware einfach löschen?
• Untersuchungen von Stalkerware
• Technische Tipps zum Überprüfen eines Android-Geräts auf Stalkerware

Weitere Informationen zum Thema:

AVTEST, 20.07.2021
Abgewehrt: Stalkerware zur Spionage unter Android

datensicherheit.de, 22.04.2021
Spy- und Stalkerware: Nutzung im Lockdown mehr als verdoppelt / Avast macht auf wachsende Bedrohung durch Stalkerware aufmerksam und gibt Betroffenen Tipps

datensicherheit.de, 19.11.2019
Koalition gegen Stalkerware als globale Initiative gestartet / Opferschutzorganisationen schließen sich mit IT-Sicherheitsunternehmen zusammen

[datensicherheit.de, 09.12.2020] Cybereason hat nach eigenen Angaben eine aktive Spionage-Aktion identifiziert, die demnach drei bislang unbekannte Malware-Varianten einsetzt. Die aktuell aufgedeckte Operation nutze „facebook“, „Dropbox“, „Google Docs“ und „Simplenote“, um über einen Command-and-Control-Server direkten Zugriff auf die Computer der Opfer zu erlangen und vertrauliche Daten abzuziehen.

Neue Malware idenifiziert: Backdoors SharpStage und Dropbook sowie Downloader MoleNet

Cybereason führt die Spionagekampagne auf „Molerats“ (auch als „The Gaza Cybergang“ bekannt) zurück: Eine arabisch-sprachige, politisch motivierte APT-Gruppe (Advanced Persistent Threat), die seit 2012 im Nahen Osten aktiv sei. Anfang 2020 hätten Cybereason-Forscher bereits über die Entdeckung der zuvor unbekannten „Spark“- und „Pierogi“-Hintertüren berichtet, welche als Teil eines gezielten Angriffs von „Molerats“ auf palästinensische Beamte gewertet worden sei.
Die jüngste Aktion setze zwei bislang unbekannte Backdoors namens „SharpStage“ und „Dropbook“ sowie einen Downloader namens „MoleNet“ ein. Diese Kampagne nutze Phishing-Dokumente, welche verschiedene Themen im Zusammenhang mit aktuellen Ereignissen im Nahen Osten behandele – darunter ein angeblich geheimes Treffen zwischen seiner Königlichen Hoheit Mohammed bin Salman, Kronprinz von Saudi-Arabien, dem US-Außenminister, Mike Pompeo, und dem israelischen Premierminister, Benjamin Netanjahu.

Wichtigste Cybereason-Erkenntnisse zu neuen Malware-Varianten:

• Neue Spionage-Tools entwickelt von „Molerats“
  Cybereason habe mit „SharpStage“ und „DropBook“ zwei neuen Backdoors sowie den „MoleNet“-Downloader identifiziert. Diese ermöglichten es den Angreifern, beliebigen Code auszuführen und vertrauliche Daten auf infizierten Computern zu sammeln und abzuziehen.
• Missbrauch von „facebook“, „Google Docs“, „Dropbox“ und „Simplenote“
  Die neuentdeckte „DropBook“-Backdoor verwende gefälschte „facebook“-Konten oder „Simplenote“ zur Steuerung und Kontrolle anderer Server. Demgegenüber missbrauchten „SharpStage“ und „DropBook“ einen „Dropbox“-Kunden, um gestohlene Daten zu übertragen und ihre Spionage-Tools zu speichern.
• Politische Phishing-Themen
  E-Mails, mit denen die Opfer angelockt worden seien, hätten sich unter anderem mit den israelisch-saudischen Beziehungen, den Hamas-Wahlen, mit Nachrichten zu palästinensischen Politikern und anderen regionalen Ereignissen beschäftigt (darunter ein geheimes Treffen zwischen dem Kronprinzen von Saudi-Arabien, dem US-Außenminister und dem israelischen Premierminister).
• Verbindungen zu früheren Nahost-Kampagnen
  Die neuentdeckten, schon in der Vergangenheit „Molerats“ zugeschriebenen Backdoors seien in Verbindung mit der „Spark“-Backdoor verwendet worden. Die Angreifer hätten diese neuen Spionage-Tools auch genutzt, um zusätzliche Payloads herunterzuladen: Darunter die berüchtigte, zuvor von „Molerats“ verwendete „Open-Source-Quasar RAT“.
• Auf den gesamten Nahen Osten ausgerichtet
  Der Angriff sei hauptsächlich in den Palästinensischen Gebieten, den Vereinigten Arabischen Emiraten, Ägypten und der Türkei beobachtet worden. Angesichts der Art der Phishing-Inhalte gehe Cybereason davon aus, „dass die Zielgruppe aus hochrangigen politischen Persönlichkeiten und Regierungsbeamten im Nahen Osten besteht“.

Politisch brisante Ereignisse als Aufhänger für Malware-Infektionen und Phishing-Kampagnen

„Wenig überraschend ist, wie Bedrohungsakteure politisch brisante Ereignisse ausnutzen, um ihre Phishing-Kampagnen anzuheizen. Aber es ist besorgniserregend, dass Soziale Medien zunehmend für Command-and-Control-Anweisungen und andere legitime Cloud-Dienste für Data-Extrusion-Aktivitäten missbraucht werden“, so Lior Div, Mitgründer und „CEO“ von Cybereason.
Für die Seite der Verteidiger bedeute dies, in Bezug auf potenziell schädlichen Netzwerkverkehr in Verbindung mit legitimen Services besonders achtsam zu sein. Verschleierte Angriffe dieser Art ließen sich ohne den nötigen Kontext nicht erkennen. Deshalb versetze Cybereason Sicherheitsexperten in die Lage, betriebs-zentriert anstatt alarm-zentriert zu arbeiten. Div: „Das erlaubt, Beziehungen zwischen scheinbar beziehungslosen Vorkommnissen im Netzwerk und darüber hinaus herzustellen.“

Weitere Informationen zum Thema:

datensicherheit.de, 04.10.2019
Ransomware-Attacken: FBI gibt seltene Warnung heraus

cybereason, 09.12.2020
New Malware Arsenal Abusing Cloud Platforms in Middle East Espionage Campaign

[datensicherheit.de, 14.08.2020] Mithilfe ihrer „Kaspersky Threat Attribution Engine“ konnten nach eigenen Angaben kaspersky-Forscher „mehr als 300 Samples der Backdoor ,Bisonal‘ mit einer Kampagne der Cyber-Spionage-Gruppe ,CactusPete‘ in Verbindung bringen“. Diese jüngste Kampagne der „APT-Gruppe“ (APT: Advanced Persistent Threat) konzentriert sich demnach auf militärische und finanzielle Ziele in Osteuropa. Wie die verwendete „Backdoor“ auf die Geräte der Opfer kommt, sei noch unklar. Bei „CactusPete“, auch bekannt als „Karma Panda“ oder „Tonto Teaь“, handele es sich um eine Cyber-Spionage-Gruppe, die seit mindestens 2012 aktiv sei. Ihre derzeit eingesetzte „Backdoor“ habe Vertreter des Militär- und Finanzsektors in Osteuropa im Visier, um wahrscheinlich Zugang zu vertraulichen Informationen zu erhalten.

Jüngste CactusPete-Aktivitäten von kaspersky-Forschern erstmals im Februar 2020 bemerkt

Diese jüngsten Aktivitäten der Gruppe sei von kaspersky-Forschern erstmals im Februar 2020 bemerkt worden, als sie eine aktualisierte Version der „Bisonal-Backdoor“ entdeckt hätten. Mithilfe der „Kaspersky Threat Attribution Engine“ – einem Analyse-Tool, um Ähnlichkeiten in Schadcodes von bekannten Bedrohungsakteuren zu finden – habe die „Backdoor“ mit mehr als 300 weiteren, „in the wild“ gefundenen Samples in Verbindung gebracht werden können.
Alle Samples seien zwischen März 2019 und April 2020 entdeckt worden, etwa 20 Samples pro Monat. Das lasse darauf schließen, dass sich „CactusPete“ schnell entwickele. So habe die Gruppe auch ihre Fähigkeiten weiter verfeinert und sich dieses Jahr, 2020, Zugang zu komplexerem Code wie „ShadowPad“ verschafft.

CactusPete offenbar auf der Suche nach hochsensiblen Informationen

„Die Funktionalität des schädlichen Payloads lässt darauf schließen, dass die Gruppe auf der Suche nach hochsensiblen Informationen ist.“ Nach der „Backdoor“-Installation auf dem Gerät des Opfers könne die Gruppe über „Bisonal“ verschiedene Programme unbemerkt starten, Prozesse beenden, Dateien hochladen, herunterladen oder löschen und eine Liste der verfügbaren Laufwerke abrufen.
Sobald die Angreifer tiefer in das infizierte System vorgedrungen sind, komme ein Keylogger zum Einsatz, um Anmeldeinformationen zu sammeln und Malware herunterzuladen, die Berechtigungen und somit schrittweise mehr Kontrolle über das System ermögliche.

In der Vergangenheit setzte CactusPete überwiegend auf Spear-Phishing-Mails

Es sei noch unklar, wie die „Backdoor“ in dieser Kampagne auf das Gerät gelangt. In der Vergangenheit habe „CactusPete“ jedoch überwiegend auf Spear-Phishing-Mails gesetzt, die schädliche Anhänge enthielten, um Geräte zu infizieren.
„,CactusPete‘ ist eine interessante APT-Gruppe, weil sie eigentlich nicht so fortgeschritten ist, auch nicht ihre ,Bisonal-Backdoor‘“, berichtet Konstantin Zykov, Sicherheitsexperte bei kaspersky.

CactusPete nutzt erfolgreich Social Engineering

Ihr Erfolg beruht nicht auf komplexer Technologie oder ausgeklügelten Verteilungs- und Verschleierungstaktiken, sondern auf erfolgreichem „Social Engineering“, erläutert Zykov: „Sie schaffen es, hochrangige Ziele zu infizieren, indem ihre Opfer schädliche Anhänge in Phishing-Mails öffnen.“
Dies sei ein gutes Beispiel dafür, warum Phishing weiterhin eine so effektive Methode zum Starten von Cyber-Angriffen sei und „warum es für Unternehmen so wichtig ist, ihre Mitarbeiter darin zu schulen, wie sie solche E-Mails erkennen und wie sie mittels ,Threat Intelligence‘ über die neueste Bedrohung auf dem Laufenden bleiben können“.

kaspersky-Empfehlungen zum Schutz vor APT-Gruppen wie z.B. CactusPete:

•  Das Team des „Security Operations Center“ (SOC) sollte stets Zugriff auf die neuesten Bedrohungsinformationen haben, um über neue und zukünftige Tools, Techniken und Taktiken, die von Bedrohungsakteuren und Cyber-Kriminellen verwendet werden, auf dem Laufenden zu bleiben.
• Unternehmen sollten eine EDR-Lösung (wie z.B. „Kaspersky Endpoint Detection and Response“) implementieren, um Vorfälle rechtzeitig erkennen, untersuchen und darauf reagieren zu können.
• Mitarbeiter sollten regelmäßig zum Thema Cyber-Sicherheit geschult werden, da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken begännen. Simulierte Phishing-Angriff könnten dabei helfen, die Mitarbeiter zu testen, zu trainieren und auf das Vorgehen von Cyber-Kriminellen aufmerksam zu machen.
•  Etwa mit der „Kaspersky Threat Attribution Engine“ (als ein Beispiel) könnten schädliche Samples schnell mit bekannten Angriffsakteuren verknüpft werden.

Weitere Informationen zum Thema:

kaspersky SECURELIST, Konstantin Zykov, 13.08.2020
CactusPete APT group’s updated Bisonal backdoor / The backdoor was used to target financial and military organizations in Eastern Europe

kaspersky SECURELIST, GreAT, 29.07.2020
APT trends report Q2 2020

datensicherheit.de, 09.07.2020
kaspersky: Neues Geschäftsmodell von Cyber-Kriminellen

PSW GROUP gibt Tipps zu sinnvollem Schutz vor Spionage-Software

[datensicherheit.de, 09.07.2020] Die Verwendung von Spyware gewinnt an Bedeutung – um an Daten und Informationen von Unternehmen zu gelangen, wenden Cyber-Kriminelle offensichtlich nicht nur reines Hacking an, sondern betreiben auch Cyber-Spionage. Das gelingt laut der PSW GROUP „recht simpel durch sogenannte Spyware, die auf dem Rechner installiert wird“. Wer ungewöhnliche Nachrichten, beispielsweise über Soziale Netzwerke, per E-Mail, Messenger oder per SMS erhält, könnte schon Opfer einer Spyware geworden sein.

Foto: PSW GROUP

Patrycja Tulinska: In aller Regel bleibt Spyware verborgen

Spyware oder Stalkerware kommt zunehmend im Privatbereich zum Einsatz

„Tatsächlich existieren sogenannte legale Spyware-Apps, auch als Stalker- oder Spouseware bezeichnet, die installiert werden können, um andere auszuspionieren. In aller Regel bleiben spionierende Apps und Software verborgen. Der cyber-kriminelle Täter wird mit Informationen sowie Daten, beispielsweise Standortdaten, Browserverlauf, SMS oder Social-Media-Chats, versorgt“, so Patrycja Tulinska, Geschäftsführerin der PSW GROUP.
Der IT-Sicherheitsexpertin bereitet die steigende Beliebtheit von Spionage und Überwachung, sowohl im Unternehmens- als auch im Privaten Bereich, Sorge: „Spy- oder Stalkerware findet zunehmend im Privatbereich Einsatz – jedoch darf man hier durchaus von technologischem Missbrauch sprechen, der ethisch mehr als bedenklich erscheint.“

Auch Unternehmen sehen sich vielfach Spyware ausgesetzt

Die Sicherheitsrisiken, die solche Stalkerware mit sich bringt, sollte nicht nur die Opfer, sondern auch die Täter sehr beunruhigen, könnten solche Apps doch die Daten der Opfer gefährden und den Geräteschutz aushebeln. Tulinska: „Letzteres würde Tür und Tor auch für andere Schadsoftware öffnen.“ Apps dieser Art würden oft recht schamlos als Geheimwaffe für besorgte Eltern beworben, die die Aktivitäten ihrer Kinder zu ihrem eigenen Schutz überwachen sollten. Dass solche Apps oft missbraucht werden, sei eine wenig überraschende Erkenntnis: Stalkerware befasse sich schließlich mit dem Digitalleben seiner Opfer.
„Eine unschöne Entwicklung des gesellschaftlichen Miteinanders, jedoch ist der Privatbereich nur einer, den es treffen kann. Denn auch Unternehmen sehen sich vielfach Spyware ausgesetzt, die dafür genutzt wird, Unternehmensgeheimnisse preiszugeben oder sonstige Informationen für eigene Zwecke zu missbrauchen.“ Industriespionage und Erpressung seien reale Gefahren, die jedes Unternehmen treffen könnten. Tatsächlich seien sogar Klein- und Mittelständische Unternehmen (KMU) häufige Opfer: „Sie denken zum einen nicht daran, dass sie überhaupt Opfer werden könnten. Zum anderen sind die Möglichkeiten solcher Unternehmen in finanzieller oder personeller Hinsicht begrenzt, so dass IT-Sicherheit zuweilen eher halbherzig angegangen wird“, berichtet Tulinska.

Nicht immer lässt sich ein Angriff mit Spyware zweifelsfrei feststellen

Wie groß die Gefahr tatsächlich ist, Spyware zum Opfer zu fallen, habe der Branchenverband Bitkom im Jahr 2019 durch eine anonyme und bundesweit durchgeführte Umfrage herausgefunden: „Der Studienbericht ,Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt‘ zeigt deutlich, dass 75 Prozent der Unternehmen in den vergangenen zwei Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen waren. Weitere 13 Prozent waren vermutlich betroffen – denn nicht immer lässt sich ein Angriff zweifelsfrei feststellen.“ Somit sei fast die gesamte Industrie von Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen oder vermutlich betroffen – mit hoher Wahrscheinlichkeit lägen die tatsächlichen Zahlen noch höher, denn nicht jeder Cyber-Angriff werde auch bemerkt.
Spyware könne es auf PCs, Server oder Notebooks absehen, oder in die Lage versetzen, Video- und Sprachaufnahmen aufzuzeichnen. Aber auch auf Mobilgeräte wie Smartphones und Tablets. Spyware sei keine Malware im eigentlichen Sinne und sie versuche auch nicht, sich selbst zu verbreiten, wie es Viren täten. Jedoch könnten Viren eingesetzt werden, um die Spyware auf das Zielsystem zu bringen. „Leider gibt es keinen absolut wirksamen und 100-prozentigen Schutz gegen Spy- und Stalkerware. Wer jedoch ein paar Tipps beherzigt, kann sich recht gut schützen“, betont Tulinska.

Getarnte Spyware: Werbeanzeigen oder Links nur mit Bedacht anklicken!

„Die Antiviren-Software auf jedem Endgerät sollte immer aktuell sein und regelmäßige Scans schaffen eine gute Basis, dass Spy- oder Stalkerware auch aufgespürt werden. E-Mail-Anhänge oder Datei-Downloads sollten zudem nur aus bekannten und vertrauenswürdigen Quellen geöffnet werden.“ Gleiches gelte im Übrigen auch für kostenfreie Software: „Vor Installation kann ich nur dringend empfehlen, Herkunft und Funktion zu prüfen.“ Wer im Web surft, sollte Werbeanzeigen oder Links nur mit Bedacht anklicken – „Finger weg, sobald etwas fragwürdig erscheint“.
Wer vermutet, dass sein Smartphone kompromittiert sein könnte, sollte dringend den PIN und die Passwörter für alle möglichen Online-Accounts, einschließlich E-Mail und Soziale Netzwerke ändern, rät Tulinska. Updates und Patches sollten bei Verdachtsfällen dann stets von sicheren Geräten ausgeführt werden, niemals von Geräten, die verdächtig erscheinen. Ein Hinweis einer Kompromittierung könne es sein, wenn sich die Geräteeinstellungen ohne Zutun des Eigentümers ändern. Vorsicht sei auch geboten, wenn das Smartphone vorher verlorenging. Wurden Anwendungen aus anderen Quellen als den offiziellen App-Stores von Google und Apple geladen, könne dies ein Hinweis auf unerwünschte Stalkerware sein.

Spyware kann von Hackern auch in Bildern eingeschleust werden

„Für Unternehmen gilt, dass strengere Zugriffskontrollen auf unternehmenseigenen Geräten, aber auch Richtlinien zum Verwenden von Endbenutzergeräten implementiert werden müssen. Gerootete Geräte und jene mit ,Jailbreak‘ sollten aus dem unternehmenseigenen Netzwerk ausgeschlossen werden. Stalkerware könnte nämlich dafür sorgen, dass die sensiblen Unternehmensdaten in die falschen Hände geraten“, unterstreicht Tulinska.
Umso wichtiger sei Aufklärung: Ist der Ursprung einer Nachricht unbekannt, sollten weder Links angeklickt, noch Anhänge geöffnet werden. Oft handele es sich um Phishing-Versuche, die darauf abzielten, an Informationen zu kommen. Spyware könne von Hackern auch in Bildern oder GIFs eingeschleust werden. Gerne würden süße Bildchen oder lustige Memos verschickt – „der Virus befindet sich dann als verschlüsselter Code in der Datei“. Öffnet der Empfänger den Anhang, werde die Spyware installiert und setze sich auf dem Gerät fest, warnt Tulinska.

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 23.06.2020
Bedrohungslage / Cyberspionage: Gefahren durch Spionage-Software

bitkom
Studie / Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt

datensicherheit.de, 05.05.2019
Scranos: Spyware wird zum Global Player / Unternehmen müssen ihr Sicherheitsniveau verbessern, um der Gefahr ausgeklügelter APTs zu begegnen (Gastautor Liviu Arsene, Bitdefender)

[datensicherheit.de, 18.07.2019] ESET hat nach eigenen Angaben eine Attacke auf Auslandsvertretungen und Regierungsinstitutionen in Belgien, der Slowakei, Brasilien, Chile und Guatemala aufgedeckt. Im aktuellen Fall hatte der europäische IT-Sicherheitshersteller demnach eine bisher unbekannte Backdoor namens „Okrum“ entdeckt. Die berüchtigte Gruppe „Ke3chang“ führe seit vielen Jahren Spionageangriffe auf Regierungen durch. Das Hauptziel sei dabei die Europäischen Union (EU). In der Vergangenheit sei vermutet worden, dass „Ke3chang“ hinter Angriffen auf EU-Abgesandte im Umfeld des „G-20-Gipfels“ 2013 und hinter dem Diebstahl von militärischen Unterlagen in Großbritannien gesteckt habe.

Ke3chang-Gruppe auch 2019 aktiv

Bereits in der Vergangenheit sei vermutet worden, dass „Ke3chang“ hinter Angriffen auf EU-Abgesandte im Umfeld des „G-20-Gipfels“ 2013 gesteckt habe. „Zudem soll sie 2018 Spionageangriffe auf geheime militärische Daten der britischen Regierung durchführt haben.“ Im Zuge der aktuellen Angriffe hätten ESET-Forscher eine neue Malware-Familie sowie eine bisher unbekannte, von der Gruppe hierfür eingesetzte Backdoor namens „Okrum“ entdeckt.
ESET habe die Spuren der Gruppe seit mehreren Jahren verfolgt und gehe davon aus, „dass sie von China aus operiert“. Hierzu habe ESET nun eine Studie veröffentlicht, welche die Ergebnisse zu den Aktivitäten in den europäischen Ländern zusammenfassen soll. „Auch 2019 ist die Gruppe aktiv – im März haben wir bereits wieder Spuren von ,Ke3chang‘ gesehen“, erläutert Thomas Uhlemann, „Security Specialist“ bei ESET. Es sei nicht so leicht, die Tätigkeiten solcher Hacker zurückzuverfolgen. Dahinter stecke sehr viel „Detektiv-Arbeit“, so Uhlemann.

Ke3chang hat zunächst Ziele in der Slowakei angegriffen

Ende 2016 hätten ESET-Forscher erstmals die neue und bisher unbekannte Backdoor „Okrum“ entdeckt. Die damit angegriffenen Ziele hätten zunächst in der Slowakei gelegen und seien vorher mit einer älteren Backdoor der „Ke3chang“-Gruppe namens „Ketrican“ attackiert worden. Hierdurch seien die Sicherheitsexperten der Malware auf die Spur gekommen und hätten die Fährte zurückverfolgen können.
„Okrum“ habe die gleichen Ziele wie „Ketrican“ gehabt und verhalte sich ähnlich wie andere Malware dieser Spionagegruppe. So sei das Schadprogramm beispielsweise nur mit einfachen Backdoor-Befehlen ausgestattet und benötige die manuelle Eingabe von Shell-Befehlen sowie die Auführung externer Tools für seine bösartigen Aktivitäten – dies sei „das Standardverfahren der ,Ke3chang‘-Gruppe“.

ESET-Forscher behalten Ke3chang-Gruppe im Blick

Seit vielen Jahren befassten sich ESET-Forscher detailliert mit dem Vorgehen dieser Gruppe. Die Hacker attackierten gezielt europäische Länder. Ein besonderes Interesse liege dabei an der Slowakei, aber auch Kroatien, Tschechien und andere Ländern seien betroffen gewesen.
ESET-Forscher hätten die bei diesen Angriffen verwendete Malware analysiert und herausgefunden, dass sie mit bekannten, der „Ke3chang“-Gruppe zugeschriebenen Malware-Familien verknüpft gewesen sei.

Weitere Informationen zum Thema:

welivesecurity BY eseT, 18.07.2019
Okrum-Backdoor gegen diplomatische Einrichtungen in Europa / ESET-Forscher entdeckten Cyber-Angriffe auf diplomatische Einrichtungen in Europa…

datensicherheit.de, 10.07.2019
ESET-Forscher warnen vor Zero-Day-Exploit in Windows

datensicherheit.de, 21.06.2019
LoudMiner: Crypto-Trojaner attackiert Musiker

datensicherheit.de, 23.05.2019
Windows-Betriebssysteme: Kritische Sicherheitslücke droht

datensicherheit.de, 15.05.2019
Windows-Schwachstelle: BSI warnt vor möglichen wurmartigen Angriffen

datensicherheit.de, 20.09.2018
IT-Sicherheit: Priorisierung beim Schwachstellenmanagement nötig

Komplexes Spionage-Tool in Zensur-Umgehungssoftware verborgen

[datensicherheit.de, 15.07.2019] „Turla“, ein russischsprachiger Bedrohungsakteur, hat laut kaspersky sein Portfolio an Bedrohungswerkzeugen umfassend modifiziert: Die Hacker-Gruppe habe ihre bekannte „JavaScript-KopiLuwak“-Malware um einen neuen Dropper namens „Topinambour“ erweitert, der von Cybersecurity-Experten in zwei ähnlichen Versionen und in anderen Sprachen identifiziert worden sei. Diese Malware werde jetzt unter anderem über infizierte Software-Installationspakete zur Umgehung von Internetzensur verbreitet. Die Sicherheitsexperten glauben, dass diese Maßnahmen darauf abzielten, das Erkennungsrisiko ihrer Schadprogramme zu minimieren und die Auswahl idealer Zielopfer zu präzisieren. „Topinambour“ sei Anfang 2019 bei einer Kompromittierungsaktion gegen Regierungsstellen entdeckt worden.

Abbildung: kaspersky

Infographik: „Topinambour“-Infektionsprozess

Turla: Äußerst innovative Hacker-Gruppe

Bei „Turla“ handele es sich um einen bekannten russischsprachigen Bedrohungsakteur, der sich auf Cyber-Spionageaktivitäten gegen staatliche und diplomatische Ziele spezialisiert habe. Diese Gruppe gelte als äußerst innovativ und sei durch ihre charakteristische „KopiLuwak“-Malware – erstmals Ende 2016 beobachtet – bekannt geworden.
2019 haben nun kaspersky-Forscher nach eigenen Angaben neue, von „Turla“ entwickelte Tools und Techniken entdeckt, mit denen der Tarnungsgrad ihrer Malware erhöht und infolgedessen die Erkennungswahrscheinlichkeit minimiert werde.
„Topinambour“ (benannt nach dem Gemüse Topinambur) sei eine neue, von „Turla“ verwendete „.NET-Datei“, um das JavaScript „KopiLuwak“ mittels infizierter Installationspakete für legitime Softwareprogramme (etwa VPNs zur Umgehung von Internetzensur) zu streuen.

Cyber-Kriminelle reduzieren Erkennungsrisiko

„KopiLuwak“ sei zum Zwecke der Cyber-Spionage konzipiert worden und „Turlas“ neu entwickelter Infektionsprozess beinhaltee Funktionalitäten, die der Malware helfen würden, eine Erkennung zu vermeiden.
So verfüge etwa die Command-and-Control-Infrastruktur über IPs, die gewöhnliche LAN-Adressen imitierten. Darüber hinaus agiere diese Malware fast vollständig „fileless“. Die letzte Phase des Infektionsprozesses, bei der ein verschlüsselter Trojaner die Fernverwaltung übernehme, sei komplett in die Registry des Computers eingebettet. Die Malware könne, sobald sie bereit ist, auf diese zugreifen.
Die beiden neu entdeckten „KopiLuwak“-Versionen, der „.NET-RocketMan“-Trojaner und der „PowerShell-MiamiBeach“-Trojaner seien ebenfalls für Cyber-Spionage konzipiert. Die kaspersky-Forscher sind der Ansicht, dass diese Varianten „gegen Ziele mit installierter Sicherheitssoftware eingesetzt werden, die in der Lage ist, ,KopiLuwak‘-Trojaner zu erkennen“. Nach erfolgreicher Installation seien alle drei Versionen in der Lage:

• Die individuellen Spezifika (Fingerprint targets) infizierter Zielrechner umfassend zu analysieren.
• Gespeicherte Informationen über System- und Netzwerkadapter zu sammeln.
• Daten zu stehlen.
• Zusätzliche Malware herunter zu laden und auszuführen.

„MiamiBeach“ darüber hinaus fähig, Screenshots zu machen

„In diesem Jahr zeigt sich ,Turla‘ mit überarbeitetem Toolset an Schadprogrammen und mit mit einer Reihe neuer Funktionen, die eine Erkennung durch Sicherheitslösungen und Forscher erschweren. Dazu gehören eine Reduzierung des digitalen Fingerabdrucks der Malware und zwei neue, nach ähnlichem Design konzipierte Versionen der bekannten ,KopiLuwak‘-Malware“, erläutert Kurt Baumgartner, leitender Sicherheitsforscher bei kaspersky.
„Der Missbrauch von Installationspaketen für VPN-Software, die Internetzensur umgehen können, deutet darauf hin, dass sich die Angreifer klar definierte Cyber-Spionageziele für diese Tools gesetzt haben“, so Baumgartner. Die kontinuierliche Weiterentwicklung des „Turla“-Portfolios unterstreiche die Notwendigkeit, Threat-Intelligence-Lösungen und geeignete Sicherheitssoftware einzusetzen, die vor den neuesten Tools und Techniken von APTs (Advanced Persistence Threats) schützen.
Beispielsweise würde ein Endpunktschutz und die Überprüfung von Datei-Hashes nach dem Herunterladen von Installationssoftware helfen, um sich vor Bedrohungen wie „Topinambour“ entsprechend zu schützen.

kaspersky-Tipps für mehr Sicherheit vor komplexen Gefahren:

Um das Risiko zu verringern, Opfer komplexer Cyber-Spionageoperationen zu werden, empfiehlt Kaspersky folgende Maßnahmen:

• IT-Security-Schulungen für Unternehmensmitarbeiter, um das Sicherheitsbewusstsein zu stärken und potenziell schädliche Anwendungen oder Dateien zu erkennen und zu vermeiden. So sollten Mitarbeiter beispielsweise keine Anwendungen oder Programme aus nicht vertrauenswürdigen oder unbekannten Quellen herunterladen und starten.
• Implementierung einer EDR-Lösung (wie z.B. „Kaspersky Endpoint Detection and Response“) zur Erkennung, Untersuchung und rechtzeitigen Behebung von Vorfällen auf Endpoint-Ebene.
• Integration einer unternehmensweiten Sicherheitslösung, die komplexe Bedrohungen auf Netzwerkebene frühzeitig erkennt (etwa die „Kaspersky Anti Targeted Attack Platform“).
• Permanenter Zugang des „Security Operation Center“ (SOC) auf aktuelle Bedrohungsinformationen, um über die neuen und aufkommenden Tools, Techniken und Taktiken von Cyber-Kriminellen auf dem Laufenden zu bleiben.

Weitere Informationen zum Thema:

kaspersky SECURELIST, 15.07.2019
Turla renews its arsenal with Topinambour

kaspersky SECURELIST, 02.02.2017
KopiLuwak: A New JavaScript Payload from Turla

kaspersky
Kaspersky Security Awareness

datensicherheit.de, 29.05.2019
Turla: Neue Angriffswerkzeuge der Spionagegruppe enttarnt

datensicherheit.de, 20.03.2017
KASPERSKY lab warnt: IT-Sicherheitsbranche übersieht potenzielle Nachwuchskräfte