Anzeige

Spion

ESET-Forscher haben eine noch laufende Cyberspionage-Kampagne gegen hochkarätige Ziele in Lateinamerika entdeckt. Mehr als die Hälfte der angegriffenen Computer gehört den venezolanischen Streitkräften. Auch staatliche Institutionen wie Polizei, Bildung und Außenpolitik stehen im Fokus der Kriminellen.

Rund 75 Prozent der Angriffe fanden in Venezuela statt, weitere 16 Prozent in Ecuador, wo gezielt das Militär ins Visier genommen wurde. Laut ESET-Forschern steckt hinter diesen Angriffen die Machete-Gruppe. Jede Woche werden Gigabytes an vertraulichen Dokumenten gestohlen. Die Kampagne ist nach wie vor aktiv, und sie findet in einer Zeit statt, in der die regionalen und internationalen Spannungen zwischen den Vereinigten Staaten und Venezuela zunehmen.

"Die Machete-Gruppe verwendet effektive Spear-Phishing-Techniken. Ihre langjährigen Cyber-Attacken, die sich auf lateinamerikanische Länder konzentrieren, haben es ihnen ermöglicht, umfassende Erkenntnisse zu sammeln und ihre Taktiken im Laufe der Jahre zu verfeinern", erklärt ESET-Forscher Matias Porolli. "Die Angreifer filtern spezielle Dateitypen, die von Geographischen Informationssystemen (GIS) verwendet werden. Die Gruppe ist besonders an Dateien interessiert, die Navigationsrouten und militärische Koordinaten enthalten", fügt er hinzu.

Wie laufen die Angriffe ab?

ESET-Forscher verfolgen eine neue Version von Machete (dem Toolset der Gruppe), die erstmals vor einem Jahr entdeckt wurde. Innerhalb von nur drei Monaten, zwischen März und Mai 2019, beobachtete ESET mehr als 50 infizierte Computer, die mit Command & Control-Servern der Cyber-Spione kommunizieren. Die Gruppe führt regelmäßig Änderungen an der Malware, ihrer Infrastruktur und ihren Spear-Phishing-Techniken durch.

Die Machete-Gruppe sendet hierzu sehr spezifische E-Mails direkt an ihre potentiellen Opfer, die sie dem jeweiligen Ziel anpassen. Um diese zu täuschen, verwenden Machete-Betreiber echte Dokumente, die sie zuvor gestohlen haben - zum Beispiel geheime militärische Unterlagen. Dazu gehören solche, die für die Kommunikation innerhalb des Militärs verwendet werden. Angreifer nutzen dies zusammen mit ihrem Wissen über militärische Umgangsformen, um sehr überzeugende Phishing-E-Mails zu erstellen.

Empfänger soll angehängte Datei öffnen

Der Angriff beginnt mit einer selbstentpackenden Datei, die ein Lockdokument enthält. Wird es heruntergeladen und angeklickt, installiert sich eine Backdoor. Die Hintertür besteht aus einer Spionagekomponente, die auf unbestimmte Zeit läuft, Dokumente kopiert und verschlüsselt, Screenshots macht und Tastaturanschläge aufzeichnet. Die Persistenzkomponente läuft alle 30 Minuten und installiert dabei andere Bestandteile. Auch die Kommunikation mit den Angreifern wird alle zehn Minuten gesichert, um gestohlene Daten an den Command & Control Server zu senden. Alle Bausteine missbrauchen "Google" in ihren Dateinamen, um ihre böswillige Absicht zu verbergen.

"Die Geschäftstätigkeit der Machete-Gruppe ist stärker denn je, und unsere Untersuchung hat gezeigt, dass sie sich recht schnell, manchmal innerhalb von Wochen, entwickeln kann. Verschiedene Artefakte, die wir in Machetes Code und der zugrunde liegenden Infrastruktur gesehen haben, lassen uns glauben, dass es sich um eine spanischsprachige Gruppe handelt", erläutert Matias Porolli von ESET.

Weitere Informationen:

Ein Whitepaper und weitere Informationen haben die ESET-Forscher auf WeLiveSecurity bereitgestellt: https://www.welivesecurity.com/deutsch/2019/08/05/machete-geheime-dokumente-ve%c2%adne%c2%adzo%c2%adla%c2%adnisches-militaer/

www.eset.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!