Anzeige

Malware

Cybereason, ein Unternehmen für den zukunftssicheren Schutz vor Angriffen, hat eine aktive Spionageaktion identifiziert, die drei bislang unbekannte Malware-Varianten einsetzt. Die aktuell aufgedeckte Operation nutzt Facebook, Dropbox, Google Docs und Simplenote.

So kann die Malware-Variante über einen Command-and-Control Server direkten Zugriff auf die Computer der Opfer erlangen und vertrauliche Daten abziehen.

Cybereason führt die Spionagekampagne auf Molerats (auch bekannt als The Gaza Cybergang) zurück. Eine arabisch-sprachige, politisch motivierte APT-Gruppe, die seit 2012 im Nahen Osten aktiv ist. Anfang des Jahres berichteten Cybereason-Forscher bereits über die Entdeckung der zuvor unbekannten Spark- und Pierogi-Hintertüren, die als Teil eines gezielten Angriffs von Molerats auf palästinensische Beamte gewertet wurden. 

Die jüngste Aktion setzt zwei bislang unbekannte Backdoors namens SharpStage und Dropbook sowie einen Downloader namens MoleNet ein. Die Kampagne nutzt Phishing-Dokumente, die verschiedene Themen im Zusammenhang mit aktuellen Ereignissen im Nahen Osten behandeln: darunter ein angeblich geheimes Treffenzwischen seiner Königlichen Hoheit Mohammed bin Salman, Kronprinz von Saudi-Arabien, dem US-Außenminister Mike Pompeo und dem israelischen Premierminister Benjamin Netanjahu. 

Zu den wichtigsten Erkenntnissen der Cybereason-Forscher zählen:

  • Neue Spionage-Tools entwickelt von Molerats: Cybereason hat mit SharpStage und DropBook zwei neuen Backdoors sowie den MoleNet-Downloader identifiziert. Sie ermöglichen es den Angreifern, beliebigen Code auszuführen und vertrauliche Daten auf infizierten Computern zu sammeln und abzuziehen. 

  • Missbrauch von Facebook, Google Docs, Dropbox und Simplenote: Die neu entdeckte DropBook-Backdoor verwendet gefälschte Facebook-Konten oder Simplenote zur Steuerung und Kontrolle anderer Server. Demgegenüber missbrauchen SharpStage und DropBook einen Dropbox-Kunden, um gestohlene Daten zu übertragen und ihre Spionage-Tools zu speichern. 

  • Politische Phishing-Themen: E-Mails, mit denen die Opfer angelockt wurden, beschäftigten sich unter anderem mit den israelisch-saudischen Beziehungen, den Hamas-Wahlen, mit Nachrichten zu palästinensischen Politikern und anderen regionalen Ereignissen: darunter ein geheimes Treffen zwischen seiner Königlichen Hoheit Mohammed bin Salman, Kronprinz von Saudi-Arabien, dem US-Außenminister und dem israelischen Premierminister.
  • Verbindungen zu früheren Nahost-Kampagnen: Die neu entdeckten Backdoors, die schon in der Vergangenheit Molerats zugeschrieben wurden, wurden in Verbindung mit der Spark-Backdoor verwendet, soviel ist bekannt. Die 

Angreifer nutzten die neuen Spionage-Tools auch, um zusätzliche Payloads herunterzuladen. Darunter die berüchtigte Open-Source-Quasar RAT, die zuvor von Molerats verwendet wurde.

  • Auf den gesamten Nahen Osten ausgerichtet: Der Angriff wurde hauptsächlich in den Palästinensischen Gebieten, den Vereinigten Arabischen Emiraten, Ägypten und der Türkei beobachtet. Angesichts der Art der Phishing-Inhalte geht Cybereason davon aus, dass die Zielgruppe aus hochrangigen politischen Persönlichkeiten und Regierungsbeamten im Nahen Osten besteht. 

Lior Div, Mitgründer und CEO von Cybereason: “Wenig überraschend ist, wie Bedrohungsakteure politisch brisante Ereignisse ausnutzen, um ihre Phishing-Kampagnen anzuheizen. Aber es ist besorgniserregend, dass Soziale Medien zunehmend für Command-and-Control-Anweisungen und andere legitime Cloud-Dienste für Data-Extrusion-Aktivitäten missbraucht werden. Für die Seite der Verteidiger bedeutet das, in Bezug auf potenziell schädlichen Netzwerkverkehr in Verbindung mit legitimen Services besonders achtsam zu sein. Verschleierte Angriffe dieser Art lassen sich ohne den nötigen Kontext nicht erkennen. Deshalb versetzt Cybereason Sicherheitsexperten in die Lage, betriebs-zentriert anstatt Alarm-zentriert zu arbeiten. Das erlaubt, Beziehungen zwischen scheinbar beziehungslosen Vorkommnissen im Netzwerk und darüber hinaus herzustellen.“ 

Der komplette Bericht steht Ihnen hier zum Herunterladen zur Verfügung. 

https://www.cybereason.com/


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Phishing
Dez 08, 2020

Phishing-Test: Männer klicken häufiger als Frauen

Auch in diesem Jahr haben Botfrei und der Security-Training-Anbieter SoSafe wieder ihre…
Hacker
Dez 03, 2020

Egregor: Bedrohung durch neue Ransomware nimmt zu

Eine neue Malware ist auf dem Vormarsch. Die Ransomware Egregor ist erst seit September…
SocialMedia
Nov 12, 2020

Soziale Medien erhöhen Vergnügen bei Events

Das Erstellen von Inhalten in sozialen Medien steigert den Genuss von Events. Posten User…

Weitere Artikel

Ransomware

Der Aufstieg der Ryuk Ransomware

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall.
Hackerangriff

Vorsorgepläne als Ziel von Hackern

Da Vorsorgepläne sensible persönliche und finanzielle Daten enthalten, werden Cyberangriffe auf Altersvorsorge-, Renten- und Langzeitvorsorgepläne immer häufiger. Diese Daten zu schützen bedeutet, die Bedrohung zu verstehen und Richtlinien zum Schutz von…
Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.
Hacker

Identitätsbetrug: Darauf müssen sich Unternehmen 2021 vorbereiten

Zum Jahresbeginn prognostizieren die Security-Experten von ForgeRock und Onfido weitere Zunahmen von Betrugsversuchen im Internet. Vor allem Deepfakes werden zunehmend raffinierter. Unternehmen müssen daher zukünftig auf alternative Überprüfungsmethoden von…
Hacker

Ende von DarkMarket: So reagiert das Dark Web

Mit dem Aus von DarkMarket ist den deutschen und internationalen Ermittlern ein wichtiger Schlag im Kampf gegen Cyberkriminalität gelungen. Im Dark Web selbst hat die Nachricht vom Ende des „größten illegalen Marktplatzes“ jedoch nur verhaltene Reaktionen…
Hacker

5 Sicherheitsrisiken, die uns dieses Jahr erwarten

Das Jahr 2020 hat Geschichte geschrieben: Die globale Covid-19-Pandemie hat so ziemlich alle Lebensbereiche auf den Kopf gestellt – inklusive die Welt der Cyber-Kriminalität.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!