Anzeige

Spion

ESET-Forscher haben eine noch laufende Cyberspionage-Kampagne gegen hochkarätige Ziele in Lateinamerika entdeckt. Mehr als die Hälfte der angegriffenen Computer gehört den venezolanischen Streitkräften. Auch staatliche Institutionen wie Polizei, Bildung und Außenpolitik stehen im Fokus der Kriminellen.

Rund 75 Prozent der Angriffe fanden in Venezuela statt, weitere 16 Prozent in Ecuador, wo gezielt das Militär ins Visier genommen wurde. Laut ESET-Forschern steckt hinter diesen Angriffen die Machete-Gruppe. Jede Woche werden Gigabytes an vertraulichen Dokumenten gestohlen. Die Kampagne ist nach wie vor aktiv, und sie findet in einer Zeit statt, in der die regionalen und internationalen Spannungen zwischen den Vereinigten Staaten und Venezuela zunehmen.

"Die Machete-Gruppe verwendet effektive Spear-Phishing-Techniken. Ihre langjährigen Cyber-Attacken, die sich auf lateinamerikanische Länder konzentrieren, haben es ihnen ermöglicht, umfassende Erkenntnisse zu sammeln und ihre Taktiken im Laufe der Jahre zu verfeinern", erklärt ESET-Forscher Matias Porolli. "Die Angreifer filtern spezielle Dateitypen, die von Geographischen Informationssystemen (GIS) verwendet werden. Die Gruppe ist besonders an Dateien interessiert, die Navigationsrouten und militärische Koordinaten enthalten", fügt er hinzu.

Wie laufen die Angriffe ab?

ESET-Forscher verfolgen eine neue Version von Machete (dem Toolset der Gruppe), die erstmals vor einem Jahr entdeckt wurde. Innerhalb von nur drei Monaten, zwischen März und Mai 2019, beobachtete ESET mehr als 50 infizierte Computer, die mit Command & Control-Servern der Cyber-Spione kommunizieren. Die Gruppe führt regelmäßig Änderungen an der Malware, ihrer Infrastruktur und ihren Spear-Phishing-Techniken durch.

Die Machete-Gruppe sendet hierzu sehr spezifische E-Mails direkt an ihre potentiellen Opfer, die sie dem jeweiligen Ziel anpassen. Um diese zu täuschen, verwenden Machete-Betreiber echte Dokumente, die sie zuvor gestohlen haben - zum Beispiel geheime militärische Unterlagen. Dazu gehören solche, die für die Kommunikation innerhalb des Militärs verwendet werden. Angreifer nutzen dies zusammen mit ihrem Wissen über militärische Umgangsformen, um sehr überzeugende Phishing-E-Mails zu erstellen.

Empfänger soll angehängte Datei öffnen

Der Angriff beginnt mit einer selbstentpackenden Datei, die ein Lockdokument enthält. Wird es heruntergeladen und angeklickt, installiert sich eine Backdoor. Die Hintertür besteht aus einer Spionagekomponente, die auf unbestimmte Zeit läuft, Dokumente kopiert und verschlüsselt, Screenshots macht und Tastaturanschläge aufzeichnet. Die Persistenzkomponente läuft alle 30 Minuten und installiert dabei andere Bestandteile. Auch die Kommunikation mit den Angreifern wird alle zehn Minuten gesichert, um gestohlene Daten an den Command & Control Server zu senden. Alle Bausteine missbrauchen "Google" in ihren Dateinamen, um ihre böswillige Absicht zu verbergen.

"Die Geschäftstätigkeit der Machete-Gruppe ist stärker denn je, und unsere Untersuchung hat gezeigt, dass sie sich recht schnell, manchmal innerhalb von Wochen, entwickeln kann. Verschiedene Artefakte, die wir in Machetes Code und der zugrunde liegenden Infrastruktur gesehen haben, lassen uns glauben, dass es sich um eine spanischsprachige Gruppe handelt", erläutert Matias Porolli von ESET.

Weitere Informationen:

Ein Whitepaper und weitere Informationen haben die ESET-Forscher auf WeLiveSecurity bereitgestellt: https://www.welivesecurity.com/deutsch/2019/08/05/machete-geheime-dokumente-ve%c2%adne%c2%adzo%c2%adla%c2%adnisches-militaer/

www.eset.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cyberattacke

Weitere Verdopplung der Cyberattacken im dritten Quartal

Im dritten Quartal des Jahres mussten die Cyber-Defense-Spezialisten aus Bochum fast doppelt so viele Cyber-Angriffe wie im zweiten Quartal 2020 abwehren. Mit großen Kampagnen attackieren Angreifer sowohl private Rechner, als auch Firmennetzwerke. Besonders…

Digitale Sicherheit in der Vorweihnachtszeit

Mitte 2020 hat das Cybereason Research Team eine aktive Malware-Kampagne entdeckt, die brasilianische Kunden von MercadoLivre, einem der größten Online-Markplätze Lateinamerikas, ins Visier genommen hat.
Datendiebstahl

86 Prozent der Verbraucher Opfer von Identitätsdiebstahl & Co.

86 Prozent der Verbraucher sind in diesem Jahr Opfer von Identitätsdiebstahl, Kredit-/Debitkartenbetrug oder einer Datenschutzverletzung geworden. Das ergab eine aktuelle Studie von OpSec Security. 2019 lag dieser Anteil noch bei 80 Prozent. Das jährliche…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!