Anzeige

Iran Hacker

Die äußerst gezielten Attacken des bisher unbekannten iranischen Angreifers MalKamak umfassen neue Malware, die seit 2018 Sicherheitstools umgeht und Dropbox-Dienste für die Steuerung missbraucht.

Cybereason hat eine hochgradig zielgerichtete Cyber-Spionagekampagne aufdeckt, die sich gegen globale Luft-, Raumfahrt- und Telekommunikationsunternehmen richtet. Der neue Threat-Intelligence-Report von Cybereason identifiziert unter dem Namen MalKamak einen neuen iranischen Bedrohungsakteur. Dieser agiert seit mindestens 2018 und blieb lange unentdeckt. MalKamak nutzt einen sehr ausgeklügelten und bisher nicht entdeckten Remote-Access-Trojaner (RAT) namens ShellClient. Dieser umgeht Antiviren-Tools und andere Sicherheitsvorkehrungen und missbraucht den öffentlichen Cloud-Dienst Dropbox für das sogenannte Command & Control (C2), also die Kommunikation zwischen Angreifer und Opfer-Netzwerk. Die Angriffe dauern weiterhin an.

Der Bericht mit dem Titel „Operation GhostShell: Novel RAT Targets Global Aerospace and Telecoms Firms“ beschreibt die unbemerkten Angriffe auf Unternehmen im Nahen Osten, den Vereinigten Staaten, Europa und Russland. Die Untersuchungen zeigen mögliche Verbindungen zu mehreren iranischen, staatlich unterstützten Angreifergruppen, darunter Chafer APT (APT39) und Agrius APT, auf. Der Bericht knüpft an die Veröffentlichung des DeadRinger-Reports von Cybereason im August an, in dem mehrere chinesische APT-Kampagnen, ebenfalls gegen Telekommunikationsanbieter, aufgedeckt wurden.

Zu den wichtigsten Erkenntnissen des Operation GhostShell-Berichts gehören:

  • Die Identifizierung einer neuen Angreifergruppe: Die Cybereason Nocturnus- und Incident Response-Teams deckten eine bislang unbekannte, vom iranischen Staat geförderte Angreifergruppe auf. Cybereason gab den neu entdeckten Angreifern den Namen MalKamak.
     
  • Die Entdeckung des ShellClient RAT: Die Cybereason Nocturnus- und Incident Response-Teams identifizierten einen ausgeklügelten und bisher nicht dokumentierten Remote-Access-Trojaner (RAT) mit der Bezeichnung ShellClient, der für gezielte Cyberspionage-Angriffe eingesetzt wird.
     
  • Luft- und Raumfahrt- sowie Telekommunikationsunternehmen im Visier: Die Angriffe wurden vor allem im Nahen Ostens beobachtet, erstrecken sich aber auch auf die USA, Russland und Europa.
     
  • Fortlaufende Entwicklung seit 2018: Der GhostClient-RAT wurde erstmals 2018 von MalKamak eingesetzt und wird seither kontinuierlich weiterentwickelt. Mit jeder neuen Version wurden weitere Eigenschaften und Tarnfunktionen hinzugefügt und bis in den September 2021 hinein beobachtet. 
     
  • Missbrauch von Cloud-Diensten für Command & Control: Die jüngsten ShellClient-Versionen missbrauchen Cloud-basierte Speicherdienste für das sogenante Command & Control (C2). In diesem Fall konnten die Angreifer durch die Nutzung von Dropbox unentdeckt bleiben und sich in den legitimen Netzwerk-Traffic einfügen.
     
  • Auf Heimlichkeit bedacht: Die Schöpfer von ShellClient haben viel Aufwand betrieben, um die Erkennung durch Antiviren- und andere Sicherheitstools zu umgehen. Der Angriff nutzt mehrere Verschleierungstechniken und missbraucht Dropbox-Clients für das sogenannte Command & Control (C2), wodurch er sehr schwer zu entdecken ist.
     
  • Mögliche iranische APT-Verbindungen: Die Untersuchung zeigt interessante Verbindungen zu mehreren, durch den Iran geförderten, Bedrohungsakteuren - darunter Chafer APT (APT39) und Agrius APT.

Unter Verwendung des ShellClient RAT installierten die Angreifer auch weitere Werkzeuge, um verschiedene Spionageaktivitäten in den attackierten Netzwerken durchzuführen. Darunter beispielsweise zusätzliche Aufklärungsmaßnahmen, laterale Bewegungen im Netzwerk, sowie die Sammlung und Exfiltration sensibler Daten. Es wird angenommen, dass Operation GhostShell von einem staatlich gesponserten Bedrohungsakteur oder einer Advanced Persistent Threat (APT)-Gruppe durchgeführt wird.

„Operation GhostShell benutzt einen komplexen RAT, der bereits seit 2018 in der Lage ist, sich der Aufklärung zu entziehen. DeadRinger enthüllte eine ähnlich unauffällige Bedrohung bereits 2017. Das verrät uns viel darüber, wie fortschrittliche Angreifer kontinuierlich Sicherheitslösungen überwinden“, erläutert Lior Div, CEO und Co-Founder von Cybereason. „Noch mehr Tools einzusetzen, die noch mehr Warnmeldungen erzeugen und dabei die Verteidiger überfordern, hilft nicht dabei, solch ausgeklügelte Angriffe zu stoppen. Aus diesem Grund verfolgt Cybereason einen Ansatz, der auf der Erkennung von sehr subtilen Verhaltensketten basiert. So arbeiten die eigenen Aktivitäten des Angreifers gegen ihn und enthüllen die Attacke in einem sehr frühen Stadium.“

www.cybereason.com
 


Artikel zu diesem Thema

Spionage
Sep 24, 2021

FamousSparrow: Cyberspionage im Hotel-Zimmer

Eine bislang eher unauffällige Cyberspionage-Gruppe hat eindrucksvoll bewiesen, wie…
Cybersecurity
Dez 27, 2020

Cybersecurity-Experten gegen APT-Gruppen

Die sich weiter professionalisierende Hacker-Industrie bietet nicht nur Malware und Tools…
Trojaner
Aug 11, 2020

Ansatz um Remote-Access-Trojaner zu enttarnen

Die US-Regierung hat Informationen zu einer Malware-Variante veröffentlicht, die von…

Weitere Artikel

Exploit

Hacker nutzen Zero-Day-Schwachstelle aus

HP analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden.
Herzmonitor

Ransomware-Angriffe auf Krankenhäuser - Sind Leben in Gefahr?

Krankenhäuser in den USA wurden zuletzt verstärkt von Ransomware-Gruppen angegriffen. Statistische Berechnungen zeigen nun, dass dabei durchaus Gefahr für Leib und Leben besteht.
Bitcoin Smartphone

iPhone-Krypto-Betrug eskaliert nun auch in Europa

Neue Erkenntnisse von Sophos deuten darauf hin, dass der internationale Cyber-Betrug mit Kryptowährung eskaliert. Cyberkriminelle nutzen beliebte Dating-Apps wie Tinder und Bumble, um iPhones von arglosen Nutzern:innen für ihre betrügerischen Machenschaften…
Hacker

Wenn Prometheus das Feuer stiehlt

Moderne Versionen der Open-Source-Lösung Prometheus unterstützen Sicherheitsmechanismen wie Basisauthentifizierung und TLS, die explizit konfiguriert werden müssen und nicht standardmäßig aktiviert sind. Andernfalls können Hacker leicht sensible Informationen…
Hackerangriff

Reaktionszeit auf Cyberangriffe dauert mehr als zwei Arbeitstage

Deep Instinct, Entwickler eines Deep-Learning-Framework für Cybersicherheit, veröffentlicht mit der zweiten Ausgabe des halbjährlichen Voice of SecOps Reports neue Zahlen zur aktuellen Cyber-Bedrohungslage zu der weltweit Cybersicherheitsexperten befragt…
Ransomware

1 von 5 Unternehmen war schon Opfer von Ransomware

Eine kürzlich durchgeführte Umfrage der Cybersecurity-Experten von Hornetsecurity unter mehr als 820 Unternehmen ergab, dass 21 % der Befragten bereits Opfer eines Ransomware-Angriffs wurden. Ransomware ist eine der häufigsten und effektivsten Formen der…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.