Spion

ESET-Forscher haben eine noch laufende Cyberspionage-Kampagne gegen hochkarätige Ziele in Lateinamerika entdeckt. Mehr als die Hälfte der angegriffenen Computer gehört den venezolanischen Streitkräften. Auch staatliche Institutionen wie Polizei, Bildung und Außenpolitik stehen im Fokus der Kriminellen.

Rund 75 Prozent der Angriffe fanden in Venezuela statt, weitere 16 Prozent in Ecuador, wo gezielt das Militär ins Visier genommen wurde. Laut ESET-Forschern steckt hinter diesen Angriffen die Machete-Gruppe. Jede Woche werden Gigabytes an vertraulichen Dokumenten gestohlen. Die Kampagne ist nach wie vor aktiv, und sie findet in einer Zeit statt, in der die regionalen und internationalen Spannungen zwischen den Vereinigten Staaten und Venezuela zunehmen.

"Die Machete-Gruppe verwendet effektive Spear-Phishing-Techniken. Ihre langjährigen Cyber-Attacken, die sich auf lateinamerikanische Länder konzentrieren, haben es ihnen ermöglicht, umfassende Erkenntnisse zu sammeln und ihre Taktiken im Laufe der Jahre zu verfeinern", erklärt ESET-Forscher Matias Porolli. "Die Angreifer filtern spezielle Dateitypen, die von Geographischen Informationssystemen (GIS) verwendet werden. Die Gruppe ist besonders an Dateien interessiert, die Navigationsrouten und militärische Koordinaten enthalten", fügt er hinzu.

Wie laufen die Angriffe ab?

ESET-Forscher verfolgen eine neue Version von Machete (dem Toolset der Gruppe), die erstmals vor einem Jahr entdeckt wurde. Innerhalb von nur drei Monaten, zwischen März und Mai 2019, beobachtete ESET mehr als 50 infizierte Computer, die mit Command & Control-Servern der Cyber-Spione kommunizieren. Die Gruppe führt regelmäßig Änderungen an der Malware, ihrer Infrastruktur und ihren Spear-Phishing-Techniken durch.

Die Machete-Gruppe sendet hierzu sehr spezifische E-Mails direkt an ihre potentiellen Opfer, die sie dem jeweiligen Ziel anpassen. Um diese zu täuschen, verwenden Machete-Betreiber echte Dokumente, die sie zuvor gestohlen haben - zum Beispiel geheime militärische Unterlagen. Dazu gehören solche, die für die Kommunikation innerhalb des Militärs verwendet werden. Angreifer nutzen dies zusammen mit ihrem Wissen über militärische Umgangsformen, um sehr überzeugende Phishing-E-Mails zu erstellen.

Empfänger soll angehängte Datei öffnen

Der Angriff beginnt mit einer selbstentpackenden Datei, die ein Lockdokument enthält. Wird es heruntergeladen und angeklickt, installiert sich eine Backdoor. Die Hintertür besteht aus einer Spionagekomponente, die auf unbestimmte Zeit läuft, Dokumente kopiert und verschlüsselt, Screenshots macht und Tastaturanschläge aufzeichnet. Die Persistenzkomponente läuft alle 30 Minuten und installiert dabei andere Bestandteile. Auch die Kommunikation mit den Angreifern wird alle zehn Minuten gesichert, um gestohlene Daten an den Command & Control Server zu senden. Alle Bausteine missbrauchen "Google" in ihren Dateinamen, um ihre böswillige Absicht zu verbergen.

"Die Geschäftstätigkeit der Machete-Gruppe ist stärker denn je, und unsere Untersuchung hat gezeigt, dass sie sich recht schnell, manchmal innerhalb von Wochen, entwickeln kann. Verschiedene Artefakte, die wir in Machetes Code und der zugrunde liegenden Infrastruktur gesehen haben, lassen uns glauben, dass es sich um eine spanischsprachige Gruppe handelt", erläutert Matias Porolli von ESET.

Weitere Informationen:

Ein Whitepaper und weitere Informationen haben die ESET-Forscher auf WeLiveSecurity bereitgestellt: https://www.welivesecurity.com/deutsch/2019/08/05/machete-geheime-dokumente-ve%c2%adne%c2%adzo%c2%adla%c2%adnisches-militaer/

www.eset.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Bank

Hacking und Malware als Hauptursachen der Datenschutzverletzungen im Finanzwesen

Cloud-Security-Anbieter Bitglass hat seinen aktuellen Bericht zu Datenschutzverletzungen im Finanzwesen 2019 veröffentlicht. Jedes Jahr analysiert Bitglass die neuesten Trends, größten Verstöße und gravierendsten Bedrohungen bei…
Smart Home Security

Tipps für mehr Sicherheit im Smart Home

Rund neun Millionen Haushalte in Deutschland sind nach Schätzungen des Statista Digital Market Outlooks bereits „smart“, das heißt vernetzt, zentral steuer- und programmierbar. Bis zum Jahr 2023 soll die Zahl der Smart Homes auf 13,5 Millionen steigen.
Malware

Top Malware für Januar 2020: Corona-Virus als Spam

Check Point Research (NASDAQ: CHKP), hat seinen Global Threat Index für Januar 2020 veröffentlicht. Die Experten berichten, dass Emotet bereits im vierten Monat in Folge die führende Malware ist und sich derzeit mit der Hilfe einer Spam-Kampagne zum…
Herzen

Saisonale Betrügereien: Ausgabe Valentinstag

Romantische, aber auch das Vertrauen brechende Betrügereien verursachen sowohl emotionale als auch finanzielle Schmerzen. Ein Statement von Jelle Wieringa, Security Awareness Advocate bei KnowBe4.
Tb W250 H150 Crop Int 1f22abfe6e08d1f054b6663556039815

Phishing und Malware: Coronavirus auch per E-Mail gefährlich

Täglich tauchen Meldungen zu neuen Infektionsfällen mit dem grassierenden Coronavirus auf. Die Bilder von abgeriegelten Städten und Menschen in Quarantäne zeichnen ein Schreckensszenario. Doch nicht nur in der analogen Welt ist das Virus ein Risiko: Die…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!