Anzeige

Hacker-Gruppe

Die APT-Gruppe DeathStalker spioniert seit mindestens 2012 kleine und mittelständische Unternehmen im Finanzsektor aus. Die jüngsten Kaspersky-Untersuchungen zeigen, dass DeathStalker Firmen in der Schweiz sowie auf der ganzen Welt ins Visier genommen hat. (...)

DeathStalker hat sich speziell auf Cyberspionage gegen Anwaltskanzleien und Organisationen im Finanzsektor spezialisiert. Der Bedrohungsakteur ist in hohem Maße anpassungsfähig und zeichnet sich dadurch aus, dass er einem iterativen, schnellen und flexiblen Ansatz beim Software-Design folgt. So kann DeathStalker effektiv Kampagnen durchzuführen.

Individuelles Aktivitätsspektrum erschwert Erkennung

Kaspersky-Kaspersky Experten waren nun in der Lage, die Aktivitäten von DeathStalker mit den drei Malware-Familien Powersing, Evilnum und Janicab in Verbindung zu bringen, was das breite Aktivitätsspektrum der Gruppe seit mindestens 2012 belegt. Während Kaspersky Powersing bereits 2018 identifizieren konnte, wurden Erkenntnisse über Evilnum und Janicab von anderen Cybersicherheitsanbietern gemeldet. Die Analyse von Code-Ähnlichkeiten und Viktimologie zwischen den drei Malware-Familien ermöglichte es, sie mit mittlerer Wahrscheinlichkeit in Verbindung zu bringen.

Die Taktiken, Techniken und Vorgehensweisen der Gruppe blieben über die Jahre unverändert: Sie nutzt individuelle Spear-Phishing-Mails, um Archive mit schädlichen Dateien auszuliefern. Klickt ein Nutzer den Shortcut dazu an, wird ein schädliches Skript ausgeführt und lädt weitere Komponenten aus dem Internet nach. Auf diese Weise erhalten die Angreifer die Kontrolle über das infizierte Gerät.

Powersing, ein Power-Shell-basiertes Implantat, war die erste Malware, die diesem Bedrohungsakteur zugeordnet werden konnte. Sobald der Computer eines Opfers infiziert wurde, kann die Malware Screenshots erstellen und beliebige Powershell-Skripts ausführen. Mit alternativen Persistenz-Methoden, die individuell auf die eingesetzte Sicherheitslösung eines infizierten Geräts zugeschnitten sind, entgeht die Malware einer Erkennung. DeathStalker führt damit vor jeder Kampagne Erkennungstests durch und aktualisiert die Skripte entsprechend.

Bei Powersing-Angriffen nutzt DeathStalker zudem einen bekannten öffentlichen Dienst, um die anfängliche Backdoor-Kommunikation in den legitimen Netzwerkverkehr zu integrieren. Dies schränkt die Möglichkeit, eine solche Operation zu behindern, effektiv ein. Durch den Einsatz von Dead-Drop-Resolvern - Unmengen von Informationen, die auf eine zusätzliche Kommando- und Kontrollinfrastruktur hinweisen, die in einer Vielzahl legitimer sozialer Medien, Blogging- und Messaging-Dienste platziert wurden - konnte DeathStalker einer Erkennung entgehen und eigene Kampagnen schnell zum Abschluss bringen. Sobald die Opfer infiziert sind, wenden sie sich an diese Resolver und werden von ihnen umgeleitet, wodurch die Kommunikationskette verborgen bleibt.

Unternehmen weltweit von DeathStalker betroffen

Aktionen von DeathStalker wurden auf der ganzen Welt entdeckt. Powersing-Aktivitäten konnten in Argentinien, China, Zypern, Israel, Libanon, der Schweiz, Taiwan, der Türkei, dem Vereinigten Königreich und den Vereinigten Arabischen Emiraten festgestellt werden. Kaspersky fand darüber hinaus Evilnum-Opfer in Zypern, Indien, Libanon, Russland und den Vereinigten Arabischen Emiraten. Ausführliche Informationen über Indicators of Compromise im Zusammenhang mit dieser Gruppe - einschließlich Datei-Hashes und C2-Server - können über das Kaspersky Threat Intelligence Portal abgerufen werden.

"DeathStalker ist ein Paradebeispiel für einen Bedrohungsakteur, gegen den sich Organisationen des privaten Sektors zur Wehr setzen müssen", betont Ivan Kwiatkowski, Sicherheitsexperte bei Kaspersky. "Während wir uns oft auf die Aktivitäten von APT-Gruppen konzentrieren, erinnert uns DeathStalker daran, dass auch Organisationen, die traditionell nicht zu den sicherheitsbewusstesten gehören, wissen müssen, dass sie zur Zielscheibe werden können. Darüber hinaus gehen wir aufgrund der kontinuierlichen Aktivitäten davon aus, dass DeathStalker durch den Einsatz immer neuer Mittel auch weiterhin für Organisationen weltweit eine Bedrohung bleiben wird. Dieser Akteur ist ein weiterer Beweis dafür, dass auch kleine und mittlere Unternehmen in Sicherheits- und Bewusstseinsschulungen investieren müssen. Um vor DeathStalker geschützt zu bleiben, raten wir Organisationen, die Möglichkeit zur Verwendung von Skriptsprachen wie powershell.exe und cscript.exe zu deaktivieren, wo immer dies möglich ist. Wir empfehlen auch, dass künftige Awareness-Schulungen und Bewertungen von Sicherheitsprodukten Infektionsketten auf der Basis von LNK-Dateien (Shortcut-Files) einbeziehen."

Tipps zum Schutz vor zielgerichteten Bedrohungen

  • Das Security Operations Center (SOC)-Team sollte stets Zugang zu den neuesten Threat Intelligence (TI)-Daten haben. Das Kaspersky Threat Intelligence Portal ist zentraler Zugangspunkt auf die TI eines Unternehmens und bietet Cyberangriffsdaten und Erkenntnisse, die Kaspersky in über mehr als 20 Jahre gesammelt hat.
     
  • Einen umfassenden Endpoint-Schutz wie etwa Kaspersky Integrated Endpoint Security implementieren. Dieser kombiniert Endpunktsicherheit mit Sandbox- und EDR-Funktionalität und ermöglicht so einen effektiven Schutz vor fortschrittlichen Bedrohungen und sofortige Transparenz über die, auf den Endpoints von Unternehmen und Organisationen erkannten, maliziösen Aktivitäten.
     
  • Unternehmen sollten Mitarbeiter regelmäßig schulen, damit diese über die aktuellen Taktiken und Techniken von Cyberkriminellen informiert sind. Schulungsprogramme wie Kaspersky Automated Security Awareness Platform helfen dabei.

Weitere Informationen:

Die vollständige Analyse zu DeathStalker ist hier verfügbar.

Weitere Details und Informationen über die Aktivitäten dieser APT-Gruppe im kommenden, auf Englisch gehaltenen Webinar von Kaspersky: "GReAT Ideas. Powered by SAS: advancing on new fronts - tech, mercenaries and more", am 26. August um 16 Uhr. Zur kostenfreien Anmeldung: https://kas.pr/v1oj

www.kaspersky.com/de
 


Artikel zu diesem Thema

Webinar
Aug 31, 2020

Security Awareness Training: Mitarbeiter schützen und Sicherheitsrisiko minimieren

Cybersicherheit ist insgesamt nur so stark wie ihr schwächstes Glied. Da die…
Businessman Kämpfer
Feb 12, 2020

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage,…
Menschen als Marionetten
Okt 22, 2019

Security Awareness: Definition und Bedeutung (Teil 1/4)

Datenpannen, Sicherheitslücken, Wirtschaftsspionage und - Sabotage durch Hacker: Laut…

Weitere Artikel

LKW

Fortschrittliche LKW-Technologie begünstigt Cyberangriffe

Je mehr Hightech in LKW-Flotten verbaut wird, desto effizienter wird das Flottenmanagement. Hinzu kommen Sicherheitsaspekte im Straßenverkehr. Doch mit der Vernetzung steigen auch die Risiken für einen Cyberangriff auf die Logistikbranche.
Digitale Forensik

Digitale Forensik gewinnt an Bedeutung

Die Digital Forensics Umfrage 2021 vor beschäftigt sich mit der Professionalisierung des Berufszweigs und der Bewertung der Fähigkeiten durch die Befragten. Die Umfrage zeigt, dass die meisten der 370 Umfrage-Teilnehmer grundlegende Fähigkeiten und Wissen…
Bundestagswahl

So angreifbar ist die Bundestagswahl

Aufgrund des analogen Wahl- und Auszählverfahrens gilt die Bundestagswahl als relativ sicher gegen direkte Manipulationsversuche durch Hacker. Doch auch wenn es für Cyber-Kriminelle kaum möglich sein dürfte, die Wahl direkt zu beeinflussen, gibt es im Vorfeld…
Cyberangriff

Cyberbedrohungen 2021: Phishing und Identitätsdiebstahl am wichtigsten

Das SANS Institute, Anbieter von Cybersecurity-Trainings und -Zertifizierungen, stellt die Ergebnisse seines SANS 2021 Top New Attacks and Threat Reports vor.
Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.