Anzeige

Operation North Star

Während Ende März dieses Jahres die meisten Menschen und Unternehmen mit den Folgen des Lockdowns aufgrund der Corona-Pandemie zu kämpfen hatten, betrat eine neue Hackergruppe das Spielfeld und griff amerikanische Unternehmen aus Luftfahrt- und Verteidigungsbranche mit einer ausgeklügelten Phishing-Kampagne an. 

Bereits im Sommer legte McAfee erste Ergebnisse über die neue Bedrohung aus dem Netz namens Operation North Star vor und beschrieben die Angriffsvektoren.

Jetzt wurden weitergehende Untersuchungen veröffentlicht, die darauf hindeuten, dass die Gruppierung noch raffinierter geworden ist und ihre Ziele weiter gestreut sind als bisher angenommen.

Bereits in ihrer ersten Analyse im Juni stellten die Sicherheitsforscher eine gewisse Ähnlichkeit zwischen Operation North Star und der Hackergruppe Hidden Cobra, auch bekannt als The Lazarus Group, fest. Dabei handelt es sich um eine Gruppierung, die von der US-Regierung und anderen Experten in Nordkorea verortet wird und für das dortige Regime tätig ist. Auch die ausgeklügelte Phishing-Kampagne von Operation North Star wurde bereits im ursprünglichen Bericht dargestellt. Die Kriminellen versuchen noch immer, Angestellte ihrer potenziellen Opfer über falsche Job-Angebote per E-Mail oder LinkedIn dazu zu bringen, kompromittierte Dateianhänge zu öffnen. Dabei kommen sogar legitime Stellenzeigen und Dokumente zum Einsatz, die von den Websites beliebter US-Verteidigungsunternehmen übernommen wurden, um den E-Mails mehr Glaubwürdigkeit zu verleihen.

In der nun veröffentlichten, weiterführenden Analyse gehen die Sicherheitsforscher von McAfee auch auf das Vorgehen der Gruppe nach der Erstinfektion ein und beschreiben einen zweistufigen Angriff:

In Stufe 1 werden zunächst alle Unternehmen mit Malware infiziert, die auf die Phishing-Kampagne hereingefallen sind. Das erlaubt den Angreifern umfangreichen Zugriff auf Daten wie Festplatteninformationen, freien Speicherplatz, den Computernamen sowie den angemeldeten Benutzer und die Prozessinformationen. Diese Daten werden anschließend analysiert, um zu prüfen, ob sich ein Übergang zu Stufe 2 lohnt, denn diese kommt nur bei großen und wichtigen Unternehmen zum Einsatz. Wer weiterer Aufmerksamkeit nicht würdig erachtet wird, kann sich glücklich schätzen, denn für sie ist der Angriff vorerst beendet.

Für alle anderen folgt in Stufe 2 eine weitere Infektion mit einer bislang unbekannten Spyware namens Torisma. Dabei handelt es sich um ein neuartiges Tool, das die Systeme der hochkarätigen Opfer überwacht und gleichzeitig versucht, sich Zugang zu Log-in-Daten und zu Remote Desktop Sessions zu verschaffen. Dazu wird ein Shellcode ausgeführt, der situationsabhängig unterschiedliche Aktionen ausführt. Bemerkenswert sind dabei nicht nur die Spionage-Fähigkeiten von Torisma, sondern auch seine Tarnung, die es schwer macht, den Schädling zu entdecken. Den Sicherheitsforschern gibt das einen klaren Hinweis darauf, dass das Ziel von Operation North Star die langfristige Überwachung der Opfer ist, um möglichst viele wertvollen Informationen und Forschungsergebnisse abzugreifen.

Eine weitere Erkenntnis der neuen Analyse ist, dass sich die Kampagne nicht, wie zuerst angenommen, auf die USA konzentriert. Mittlerweile sind Ziele in Israel, Russland, Indien und Australien bekannt. Unternehmen der direkt betroffenen oder auch benachbarten Branchen sollten sich also auch in Deutschland nicht allzu sicher fühlen. Hinzu kommt, dass Operation North Star längst nicht die einzige Gruppe ist, die in diesem Bereich ihr Unwesen treibt und Technologieunternehmen ausspäht. Entsprechende Maßnahmen zu Abwehr von Phishing-Kampagnen gehören daher zwingend zu einem sinnvollen Sicherheitskonzept.

Hier bieten sich zum einen Phishing-Tests an, wie das 8com Social E-Mail Audit. Ein Social E-Mail Audit dient dazu, den Sensibilisierungsgrad im Bereich „Risiken beim E-Mail-Empfang“ einzuschätzen, aber auch um Sensibilisierungsfortschritte nach bereits erfolgten Maßnahmen sichtbar zu machen. Die Angestellten eines Unternehmens erhalten präparierte E-Mails, wie auch Cyberkriminelle sie einsetzen. Nur dass beim Phishing-Test Negativfolgen ausbleiben. Ziel des Tests ist es, anonymisiert zu messen, wie oft  Anhänge in verdächtigen Mails geöffnet bzw. Links gefolgt wird. Diese Erkenntnisse ermöglichen gezielte Schulungen und rasche Fortschritte im Sicherheitsbewusstsein der Mitarbeiter. Ein kontinuierliches Security Monitoring durch ein Security Operations Center (SOC), das Anomalien und verdächtige Vorgänge innerhalb der IT-Infrastruktur erkennt und frühzeitig Abwehrmaßnahmen gegen Cyberangriffe einleitet, bietet zusätzlichen Schutz auf technischer Seite.

www.8com.de
 


Artikel zu diesem Thema

Cybercrime
Nov 06, 2020

7,5 Millionen Angriffe auf Cloud-Services

McAfee veröffentlichte seine November-Ausgabe des Quarterly Threats Report, der die…
Hackergruppe Spionage
Jul 23, 2020

Lazarus-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework

Kaspersky-Forscher haben eine Reihe von Angriffen aufgedeckt, die das fortschrittliche…
Security Operations Center (SOC)
Mai 22, 2020

Fortschrittlicher Schutz mit Security Operations Center

Ein Security Operations Center (SOC) dient Cyber-Security-Experten als Leitstelle, in der…

Weitere Artikel

Hacker

Wie sich Hacker in der Pandemie Sozialleistungen erschleichen

Im Zuge von COVID-19 stellt der Staat zahlreiche finanzielle Hilfen für Unternehmen, Selbstständige und Familien bereit. Doch diese locken auch Betrüger und Cyberkriminelle an. In Deutschland fehlt häufig die nötige Infrastruktur zur Betrugsbekämpfung – auch…
CyberCrime

Die Pandemie des Internets: Rekordhoch des Bot-Traffics in 2020

Imperva, Inc., ein Unternehmen im Bereich Cybersecurity, mit dem Ziel, Daten und alle Zugriffswege auf diese zu schützen, verzeichnete im Jahr 2020 den höchsten Bad Bot-Traffic (25,6 %) seit der Einführung des Imperva Bad Bot Reports im Jahr 2014. Die…
Hackerangriff

Erkenntnisse aus Hunderten unterschiedlicher Hackerangriffe

FireEye, das Intelligence-basierte Sicherheitsunternehmen, hat den FireEye Mandiant M-Trends-Bericht 2021 veröffentlicht.
Facebook Datenleak

Facebook Datenleak: Das steckt hinter dem Angriff

Die persönlichen Daten von insgesamt 533 Millionen Facebook-Usern stehen derzeit auf diversen cyberkriminellen Foren im Dark Web zum kostenlosen Download. Wie konnte es zu dem Datenleak kommen? Wer steckt hinter dem Angriff? Und wie hoch ist das Risiko für…
Exploit

Bisher unbekannter Zero-Day-Exploit in Desktop Window Manager

Im Zuge der Analyse des bekannten Exploits CVE-2021-1732 der APT-Gruppe BITTER entdeckten die Experten von Kaspersky einen weiteren Zero-Day-Exploit im Desktop Window Manager. Bisher kann dieser nicht mit einem bekannten Bedrohungsakteur in Verbindung…
Malware

Malware-Angriffe: 648 neue Bedrohungen pro Minute

Für die April-Ausgabe des Quarterly Threats Reports untersuchten die McAfee Labs die Malware-Aktivitäten von Cyber-Kriminellen sowie die Entwicklung von Cyber-Bedrohungen im dritten und vierten Quartal 2020. Durchschnittlich registrierten die Forscher von…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.