Facebook, Dropbox, Google Docs und Simplenote

Drei bislang unbekannte Malware-Varianten identifiziert

LinkedInXingPocketWhatsAppFlipboard

Cybereason, ein Unternehmen für den zukunftssicheren Schutz vor Angriffen, hat eine aktive Spionageaktion identifiziert, die drei bislang unbekannte Malware-Varianten einsetzt. Die aktuell aufgedeckte Operation nutzt Facebook, Dropbox, Google Docs und Simplenote.

So kann die Malware-Variante über einen Command-and-Control Server direkten Zugriff auf die Computer der Opfer erlangen und vertrauliche Daten abziehen.

Anzeige

Cybereason führt die Spionagekampagne auf Molerats (auch bekannt als The Gaza Cybergang) zurück. Eine arabisch-sprachige, politisch motivierte APT-Gruppe, die seit 2012 im Nahen Osten aktiv ist. Anfang des Jahres berichteten Cybereason-Forscher bereits über die Entdeckung der zuvor unbekannten Spark- und Pierogi-Hintertüren, die als Teil eines gezielten Angriffs von Molerats auf palästinensische Beamte gewertet wurden. 

Die jüngste Aktion setzt zwei bislang unbekannte Backdoors namens SharpStage und Dropbook sowie einen Downloader namens MoleNet ein. Die Kampagne nutzt Phishing-Dokumente, die verschiedene Themen im Zusammenhang mit aktuellen Ereignissen im Nahen Osten behandeln: darunter ein angeblich geheimes Treffenzwischen seiner Königlichen Hoheit Mohammed bin Salman, Kronprinz von Saudi-Arabien, dem US-Außenminister Mike Pompeo und dem israelischen Premierminister Benjamin Netanjahu. 

Zu den wichtigsten Erkenntnissen der Cybereason-Forscher zählen:

  • Neue Spionage-Tools entwickelt von Molerats: Cybereason hat mit SharpStage und DropBook zwei neuen Backdoors sowie den MoleNet-Downloader identifiziert. Sie ermöglichen es den Angreifern, beliebigen Code auszuführen und vertrauliche Daten auf infizierten Computern zu sammeln und abzuziehen. 

  • Missbrauch von Facebook, Google Docs, Dropbox und Simplenote: Die neu entdeckte DropBook-Backdoor verwendet gefälschte Facebook-Konten oder Simplenote zur Steuerung und Kontrolle anderer Server. Demgegenüber missbrauchen SharpStage und DropBook einen Dropbox-Kunden, um gestohlene Daten zu übertragen und ihre Spionage-Tools zu speichern. 

  • Politische Phishing-Themen: E-Mails, mit denen die Opfer angelockt wurden, beschäftigten sich unter anderem mit den israelisch-saudischen Beziehungen, den Hamas-Wahlen, mit Nachrichten zu palästinensischen Politikern und anderen regionalen Ereignissen: darunter ein geheimes Treffen zwischen seiner Königlichen Hoheit Mohammed bin Salman, Kronprinz von Saudi-Arabien, dem US-Außenminister und dem israelischen Premierminister.
  • Verbindungen zu früheren Nahost-Kampagnen: Die neu entdeckten Backdoors, die schon in der Vergangenheit Molerats zugeschrieben wurden, wurden in Verbindung mit der Spark-Backdoor verwendet, soviel ist bekannt. Die 

Angreifer nutzten die neuen Spionage-Tools auch, um zusätzliche Payloads herunterzuladen. Darunter die berüchtigte Open-Source-Quasar RAT, die zuvor von Molerats verwendet wurde.

  • Auf den gesamten Nahen Osten ausgerichtet: Der Angriff wurde hauptsächlich in den Palästinensischen Gebieten, den Vereinigten Arabischen Emiraten, Ägypten und der Türkei beobachtet. Angesichts der Art der Phishing-Inhalte geht Cybereason davon aus, dass die Zielgruppe aus hochrangigen politischen Persönlichkeiten und Regierungsbeamten im Nahen Osten besteht. 

Lior Div, Mitgründer und CEO von Cybereason: “Wenig überraschend ist, wie Bedrohungsakteure politisch brisante Ereignisse ausnutzen, um ihre Phishing-Kampagnen anzuheizen. Aber es ist besorgniserregend, dass Soziale Medien zunehmend für Command-and-Control-Anweisungen und andere legitime Cloud-Dienste für Data-Extrusion-Aktivitäten missbraucht werden. Für die Seite der Verteidiger bedeutet das, in Bezug auf potenziell schädlichen Netzwerkverkehr in Verbindung mit legitimen Services besonders achtsam zu sein. Verschleierte Angriffe dieser Art lassen sich ohne den nötigen Kontext nicht erkennen. Deshalb versetzt Cybereason Sicherheitsexperten in die Lage, betriebs-zentriert anstatt Alarm-zentriert zu arbeiten. Das erlaubt, Beziehungen zwischen scheinbar beziehungslosen Vorkommnissen im Netzwerk und darüber hinaus herzustellen.“ 

Der komplette Bericht steht Ihnen hier zum Herunterladen zur Verfügung. 

https://www.cybereason.com/


Anzeige

Artikel zu diesem Thema

6. Dezember 2021
Lizenzstreit zwischen Spotify und Spoken Giants eskaliert
3. Dezember 2021
Softwarebeschaffung: Ab 2022 gilt neue Vorschrift für Behörden
18. November 2021
Watering-Hole-Angriffe auf Medien und Regierungen im nahen Osten

Weitere Artikel

Cybercrime
Aufdeckung jahrzehntelanger rumänischer Botnet-Operation: RUBYCARP
Cybercrime
StrelaStealer-Kampagne attackiert Unternehmen in der EU und den USA
Cybercrime
Ransomware-Vorfälle durch ERP-Kompromittierung verfünffacht
Cybercrime
Nordkoreanische Hackergruppe mit neuen Spionagetaktiken
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.