Anzeige

Malware

Cybereason, ein Unternehmen für den zukunftssicheren Schutz vor Angriffen, hat eine aktive Spionageaktion identifiziert, die drei bislang unbekannte Malware-Varianten einsetzt. Die aktuell aufgedeckte Operation nutzt Facebook, Dropbox, Google Docs und Simplenote.

So kann die Malware-Variante über einen Command-and-Control Server direkten Zugriff auf die Computer der Opfer erlangen und vertrauliche Daten abziehen.

Cybereason führt die Spionagekampagne auf Molerats (auch bekannt als The Gaza Cybergang) zurück. Eine arabisch-sprachige, politisch motivierte APT-Gruppe, die seit 2012 im Nahen Osten aktiv ist. Anfang des Jahres berichteten Cybereason-Forscher bereits über die Entdeckung der zuvor unbekannten Spark- und Pierogi-Hintertüren, die als Teil eines gezielten Angriffs von Molerats auf palästinensische Beamte gewertet wurden. 

Die jüngste Aktion setzt zwei bislang unbekannte Backdoors namens SharpStage und Dropbook sowie einen Downloader namens MoleNet ein. Die Kampagne nutzt Phishing-Dokumente, die verschiedene Themen im Zusammenhang mit aktuellen Ereignissen im Nahen Osten behandeln: darunter ein angeblich geheimes Treffenzwischen seiner Königlichen Hoheit Mohammed bin Salman, Kronprinz von Saudi-Arabien, dem US-Außenminister Mike Pompeo und dem israelischen Premierminister Benjamin Netanjahu. 

Zu den wichtigsten Erkenntnissen der Cybereason-Forscher zählen:

  • Neue Spionage-Tools entwickelt von Molerats: Cybereason hat mit SharpStage und DropBook zwei neuen Backdoors sowie den MoleNet-Downloader identifiziert. Sie ermöglichen es den Angreifern, beliebigen Code auszuführen und vertrauliche Daten auf infizierten Computern zu sammeln und abzuziehen. 

  • Missbrauch von Facebook, Google Docs, Dropbox und Simplenote: Die neu entdeckte DropBook-Backdoor verwendet gefälschte Facebook-Konten oder Simplenote zur Steuerung und Kontrolle anderer Server. Demgegenüber missbrauchen SharpStage und DropBook einen Dropbox-Kunden, um gestohlene Daten zu übertragen und ihre Spionage-Tools zu speichern. 

  • Politische Phishing-Themen: E-Mails, mit denen die Opfer angelockt wurden, beschäftigten sich unter anderem mit den israelisch-saudischen Beziehungen, den Hamas-Wahlen, mit Nachrichten zu palästinensischen Politikern und anderen regionalen Ereignissen: darunter ein geheimes Treffen zwischen seiner Königlichen Hoheit Mohammed bin Salman, Kronprinz von Saudi-Arabien, dem US-Außenminister und dem israelischen Premierminister.
  • Verbindungen zu früheren Nahost-Kampagnen: Die neu entdeckten Backdoors, die schon in der Vergangenheit Molerats zugeschrieben wurden, wurden in Verbindung mit der Spark-Backdoor verwendet, soviel ist bekannt. Die 

Angreifer nutzten die neuen Spionage-Tools auch, um zusätzliche Payloads herunterzuladen. Darunter die berüchtigte Open-Source-Quasar RAT, die zuvor von Molerats verwendet wurde.

  • Auf den gesamten Nahen Osten ausgerichtet: Der Angriff wurde hauptsächlich in den Palästinensischen Gebieten, den Vereinigten Arabischen Emiraten, Ägypten und der Türkei beobachtet. Angesichts der Art der Phishing-Inhalte geht Cybereason davon aus, dass die Zielgruppe aus hochrangigen politischen Persönlichkeiten und Regierungsbeamten im Nahen Osten besteht. 

Lior Div, Mitgründer und CEO von Cybereason: “Wenig überraschend ist, wie Bedrohungsakteure politisch brisante Ereignisse ausnutzen, um ihre Phishing-Kampagnen anzuheizen. Aber es ist besorgniserregend, dass Soziale Medien zunehmend für Command-and-Control-Anweisungen und andere legitime Cloud-Dienste für Data-Extrusion-Aktivitäten missbraucht werden. Für die Seite der Verteidiger bedeutet das, in Bezug auf potenziell schädlichen Netzwerkverkehr in Verbindung mit legitimen Services besonders achtsam zu sein. Verschleierte Angriffe dieser Art lassen sich ohne den nötigen Kontext nicht erkennen. Deshalb versetzt Cybereason Sicherheitsexperten in die Lage, betriebs-zentriert anstatt Alarm-zentriert zu arbeiten. Das erlaubt, Beziehungen zwischen scheinbar beziehungslosen Vorkommnissen im Netzwerk und darüber hinaus herzustellen.“ 

Der komplette Bericht steht Ihnen hier zum Herunterladen zur Verfügung. 

https://www.cybereason.com/


Artikel zu diesem Thema

Phishing
Dez 08, 2020

Phishing-Test: Männer klicken häufiger als Frauen

Auch in diesem Jahr haben Botfrei und der Security-Training-Anbieter SoSafe wieder ihre…
Hacker
Dez 03, 2020

Egregor: Bedrohung durch neue Ransomware nimmt zu

Eine neue Malware ist auf dem Vormarsch. Die Ransomware Egregor ist erst seit September…
SocialMedia
Nov 12, 2020

Soziale Medien erhöhen Vergnügen bei Events

Das Erstellen von Inhalten in sozialen Medien steigert den Genuss von Events. Posten User…

Weitere Artikel

TikTok

TikTok LIVE-Betrug: Gestohlenes Live-Filmmaterial mißbraucht

Tenable deckt heute auf: Gestohlenes Videomaterial von Prominenten, Content-Erstellern und anderen wird von Betrügern ausgenutzt, indem sie die LIVE-Funktion von TikTok missbrauchen, eine Funktion, die für TikTok-Benutzer bestimmt ist, die mindestens 1.000…
Deepfakes

Deepfakes - Manipulationen als Gefahr

Wie lässt sich prüfen, ob Informationen echt und vertrauenswürdig sind – gerade solche, die über das Internet oder die Sozialen Medien verbreitet werden?
Identität

Rootkits: neuer Trend bedroht Online-Gamer

Die Experten der Bitdefender-Labs haben mit FiveSys ein neues Rootkit identifiziert, welches eine eigene, von Microsoft ausgegebene und gültige digitale Signatur verwendet, anstatt gestohlene Signaturen zu missbrauchen.
Supply Chain

Größter deutscher Versicherer warnt vor Hackerattacken auf globale Lieferketten

Der zur Allianz gehörende Industrieversicherer AGCS warnt vor steigender Zahl von Onlineerpressungsangriffen auf die stockenden globalen Lieferketten wie unter anderem heise und die ZEIT berichteten.
Exploit

Hacker nutzen Zero-Day-Schwachstelle aus

HP analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.