Cyberangriffe im Nahen Osten: TA402 greift Regierungsstellen an

Hacker, TA402, APT-Gruppe
LinkedInXingPocketWhatsAppFlipboard

Regierungsstellen in Nahost werden vermehrt zur Zielscheibe der cyberkriminellen Gruppe TA402 („Molerats“, „Gaza Cybergang“, „Frankenstein“, „WIRTE“). Das haben IT-Security-Experten von Proofpoint ermittelt. TA402 nutzt komplexe, labyrinthartige Infektionsketten, um die staatlichen Stellen zu attackieren.

Bei den Angriffen kommt ein neuer Downloader für den Primärzugang zum Einsatz, den die Proofpoint-Forscher IronWind getauft haben. Zwischen Juli und Oktober 2023 griff TA402 auf drei Varianten dieser Infektionskette zurück: Dropbox-Links, XLL-Dateianhänge und RAR-Dateianhänge. Diesen Varianten war gemein, dass sie zum Download einer DLL führten, die eine multifunktionale Malware enthielt.

Anzeige

Bei TA402 (Threat Actor 402) handelt es sich um eine APT-Gruppe (Advanced Persistent Threat), die in der Vergangenheit durch Aktionen aufgefallen ist, die palästinensischen Interessen dienen. Es besteht die Möglichkeit, dass die Täter ihre Ressourcen im Zuge der weiteren Entwicklung im Nahen Osten neu ausrichten.

„Wenn es um staatliche Akteure im Bereich Cybercrime geht, erhalten Nordkorea, Russland, China und der Iran im Allgemeinen die meiste Aufmerksamkeit. Aber TA402, eine APT-Gruppe aus dem Nahen Osten, die in der Vergangenheit in den palästinensischen Gebieten operierte, hat sich immer wieder als faszinierender Bedrohungsakteur erwiesen, der in der Lage ist, hochentwickelte Cyberspionage mit Schwerpunkt auf Informationsbeschaffung zu betreiben“, kommentiert Joshua Miller, Senior Threat Researcher bei Proofpoint. „Der anhaltende Konflikt im Nahen Osten scheint ihre laufenden Operationen nicht zu beeinträchtigen, weil sie nach wie vor neue und raffinierte Verbreitungsmethoden einsetzen, um der Erkennung zu entgehen. TA402 nutzt komplexe Infektionsketten und entwickelt neue Malware, um ihre Ziele anzugreifen, und führt weiterhin sehr zielgerichtete Aktionen mit Schwerpunkt auf Regierungsstellen im Nahen Osten und Nordafrika durch.“

Die wichtigsten Erkenntnisse zu TA402 im Überblick

  • Von Juli bis Oktober 2023 beobachteten die Security-Experten von Proofpoint, dass TA402 Phishing-Kampagnen durchführte, die einen neuen Downloader mit dem Namen IronWind für den primären Zugang verbreiten sollten. Nach dem Downloader folgten weitere Infektionsstufen, die auf heruntergeladenem Shell-Code basierten.
  • Im gleichen Zeitraum passte TA402 seine Verbreitungsmethoden an und nutzte nicht mehr Dropbox-Links, sondern XLL- und RAR-Dateianhänge, mutmaßlich um etwaige Erkennungsmaßnahmen zu umgehen.
  • Diese Cybercrime-Gruppe hat stets extrem gezielte Attacken durchgeführt, bei denen jeweils weniger als fünf Organisationen pro Kampagne angegriffen wurden. Dabei konzentrieren sich die Täter besonders auf staatliche Stellen im Nahen Osten und Nordafrika.
  • Proofpoint beobachtet TA402 seit 2020. Die Erkenntnisse von Proofpoint weisen Überschneidungen mit Berichten über Aktivitäten von Molerats, Gaza Cybergang, Frankenstein und WIRTE auf.
TA402-Infektionskette, die bei der Kampagne im Juli 2023 beobachtet wurde
Bild 1: TA402-Infektionskette, die bei der Kampagne im Juli 2023 beobachtet wurde

Weitere Informationen:

Eine detailliere Analyse der von Proofpoint beobachteten TA402-Kampagnen und der technischen Details zum Downloader IronWind finden Sie im neuesten, englischsprachigen Threat Blog des Unternehmens.

www.proofpoint.com


Anzeige

Weitere Artikel

Cybercrime
CrushFTP: Schwachstelle ermöglicht Datenabfluss
Cybercrime
Spionage und Datenklau gibt es offensichtlich immer und überall
Cybercrime
KI vs. KI: Wie Künstliche Intelligenz hilft, KI-generierte BEC-Angriffe abzuwehren
Cybercrime
Unternehmen haben Schwierigkeiten beim Managen von Cyber-Risiken
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.