Anzeige

Operation North Star

Während Ende März dieses Jahres die meisten Menschen und Unternehmen mit den Folgen des Lockdowns aufgrund der Corona-Pandemie zu kämpfen hatten, betrat eine neue Hackergruppe das Spielfeld und griff amerikanische Unternehmen aus Luftfahrt- und Verteidigungsbranche mit einer ausgeklügelten Phishing-Kampagne an. 

Bereits im Sommer legte McAfee erste Ergebnisse über die neue Bedrohung aus dem Netz namens Operation North Star vor und beschrieben die Angriffsvektoren.

Jetzt wurden weitergehende Untersuchungen veröffentlicht, die darauf hindeuten, dass die Gruppierung noch raffinierter geworden ist und ihre Ziele weiter gestreut sind als bisher angenommen.

Bereits in ihrer ersten Analyse im Juni stellten die Sicherheitsforscher eine gewisse Ähnlichkeit zwischen Operation North Star und der Hackergruppe Hidden Cobra, auch bekannt als The Lazarus Group, fest. Dabei handelt es sich um eine Gruppierung, die von der US-Regierung und anderen Experten in Nordkorea verortet wird und für das dortige Regime tätig ist. Auch die ausgeklügelte Phishing-Kampagne von Operation North Star wurde bereits im ursprünglichen Bericht dargestellt. Die Kriminellen versuchen noch immer, Angestellte ihrer potenziellen Opfer über falsche Job-Angebote per E-Mail oder LinkedIn dazu zu bringen, kompromittierte Dateianhänge zu öffnen. Dabei kommen sogar legitime Stellenzeigen und Dokumente zum Einsatz, die von den Websites beliebter US-Verteidigungsunternehmen übernommen wurden, um den E-Mails mehr Glaubwürdigkeit zu verleihen.

In der nun veröffentlichten, weiterführenden Analyse gehen die Sicherheitsforscher von McAfee auch auf das Vorgehen der Gruppe nach der Erstinfektion ein und beschreiben einen zweistufigen Angriff:

In Stufe 1 werden zunächst alle Unternehmen mit Malware infiziert, die auf die Phishing-Kampagne hereingefallen sind. Das erlaubt den Angreifern umfangreichen Zugriff auf Daten wie Festplatteninformationen, freien Speicherplatz, den Computernamen sowie den angemeldeten Benutzer und die Prozessinformationen. Diese Daten werden anschließend analysiert, um zu prüfen, ob sich ein Übergang zu Stufe 2 lohnt, denn diese kommt nur bei großen und wichtigen Unternehmen zum Einsatz. Wer weiterer Aufmerksamkeit nicht würdig erachtet wird, kann sich glücklich schätzen, denn für sie ist der Angriff vorerst beendet.

Für alle anderen folgt in Stufe 2 eine weitere Infektion mit einer bislang unbekannten Spyware namens Torisma. Dabei handelt es sich um ein neuartiges Tool, das die Systeme der hochkarätigen Opfer überwacht und gleichzeitig versucht, sich Zugang zu Log-in-Daten und zu Remote Desktop Sessions zu verschaffen. Dazu wird ein Shellcode ausgeführt, der situationsabhängig unterschiedliche Aktionen ausführt. Bemerkenswert sind dabei nicht nur die Spionage-Fähigkeiten von Torisma, sondern auch seine Tarnung, die es schwer macht, den Schädling zu entdecken. Den Sicherheitsforschern gibt das einen klaren Hinweis darauf, dass das Ziel von Operation North Star die langfristige Überwachung der Opfer ist, um möglichst viele wertvollen Informationen und Forschungsergebnisse abzugreifen.

Eine weitere Erkenntnis der neuen Analyse ist, dass sich die Kampagne nicht, wie zuerst angenommen, auf die USA konzentriert. Mittlerweile sind Ziele in Israel, Russland, Indien und Australien bekannt. Unternehmen der direkt betroffenen oder auch benachbarten Branchen sollten sich also auch in Deutschland nicht allzu sicher fühlen. Hinzu kommt, dass Operation North Star längst nicht die einzige Gruppe ist, die in diesem Bereich ihr Unwesen treibt und Technologieunternehmen ausspäht. Entsprechende Maßnahmen zu Abwehr von Phishing-Kampagnen gehören daher zwingend zu einem sinnvollen Sicherheitskonzept.

Hier bieten sich zum einen Phishing-Tests an, wie das 8com Social E-Mail Audit. Ein Social E-Mail Audit dient dazu, den Sensibilisierungsgrad im Bereich „Risiken beim E-Mail-Empfang“ einzuschätzen, aber auch um Sensibilisierungsfortschritte nach bereits erfolgten Maßnahmen sichtbar zu machen. Die Angestellten eines Unternehmens erhalten präparierte E-Mails, wie auch Cyberkriminelle sie einsetzen. Nur dass beim Phishing-Test Negativfolgen ausbleiben. Ziel des Tests ist es, anonymisiert zu messen, wie oft  Anhänge in verdächtigen Mails geöffnet bzw. Links gefolgt wird. Diese Erkenntnisse ermöglichen gezielte Schulungen und rasche Fortschritte im Sicherheitsbewusstsein der Mitarbeiter. Ein kontinuierliches Security Monitoring durch ein Security Operations Center (SOC), das Anomalien und verdächtige Vorgänge innerhalb der IT-Infrastruktur erkennt und frühzeitig Abwehrmaßnahmen gegen Cyberangriffe einleitet, bietet zusätzlichen Schutz auf technischer Seite.

www.8com.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cybercrime
Nov 06, 2020

7,5 Millionen Angriffe auf Cloud-Services

McAfee veröffentlichte seine November-Ausgabe des Quarterly Threats Report, der die…
Hackergruppe Spionage
Jul 23, 2020

Lazarus-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework

Kaspersky-Forscher haben eine Reihe von Angriffen aufgedeckt, die das fortschrittliche…
Security Operations Center (SOC)
Mai 22, 2020

Fortschrittlicher Schutz mit Security Operations Center

Ein Security Operations Center (SOC) dient Cyber-Security-Experten als Leitstelle, in der…

Weitere Artikel

Ransomware

Unzureichender Homeoffice-IT-Schutz macht es Ransomware leicht

Zu schwach, zu offen, zu einseitig. Heimische Arbeitsplätze sind für Ransomware-Angriffe schlecht gewappnet. Gerade die Endgeräte der Mitarbeitenden, ob mobil oder stationär, sind das primäre Ziel von Attacken.
Ransomware

Ransomware wütet auch im Gesundheitswesen

Ransomware-Angriffe auf Unternehmen und andere Organisationen sind mittlerweile trauriger Alltag geworden. Das Gesundheitswesen ist da leider keine Ausnahme.
Hackerangriff

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der beliebtesten verwendeten Passwörter in weniger als einer Sekunde geknackt werden.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!