Anzeige

Hackergruppe

ESET-Forscher enttarnten einen Cyber-Spionagering, der bisher unbemerkt agieren konnte. Die APT-Gruppe ist nach Erkenntnissen des europäischen Sicherheitsherstellers bereits seit 2011 aktiv und hat sich auf den Diebstahl sensibler Regierungsdokumente im osteuropäischen Raum und der Balkan-Region spezialisiert.

Bei den Zielen handelt sich in erster Linie um Regierungsstellen, darunter Militäreinrichtungen und Außenministerien sowie vereinzelt Unternehmen. Die als XDSpy bezeichnete Hackerbande ist neun Jahre lang weitgehend unentdeckt geblieben, was selten ist.

"Die Kampagne um XDSpy ist exemplarisch für den aktuellen Stand der Cybersecurity. Nicht eingespielte Sicherheitsupdates, veraltete Soft- und Hardware, fehlendes Monitoring - all das lädt nicht nur Spione, sondern auch andere Cybergangster ein. Es wäre allerdings ein Trugschluss zu glauben, dass nur osteuropäische Behörden und Institutionen leicht zum Opfer fallen können", sagt Thomas Uhlemann, Security Specialist bei ESET Deutschland.

"Auch im deutschsprachigen Raum gibt es noch viel zu viele IT-Zwischenfälle. Diese wären vermeidbar, wenn einfachste IT-Security-Grundregeln wie Malwareschutz, ständige Aktualisierungen von Hard- und Software, entsprechende Budgets, moderne Zugriffsberechtigungen, Verschlüsselung und Know-how vorhanden gewesen wären", so Uhlemann weiter.

Erfolgreiche Angriffe mit Spear-Phishing

Die XDSpy-Betreiber verwendeten lange Zeit Spear-Phishing-E-Mails, um ihre Ziele zu kompromittieren. Die E-Mails weisen dabei Variationen auf: Einige enthalten einen Anhang, während andere einen Link zu einer bösartigen Datei beinhalten. Dabei handelt es sich in der Regel um ZIP- oder RAR-Archive. Wenn das Opfer darauf doppelklickt, lädt die entpackte LNK-Datei "XDDown" - die Hauptkomponente der Malware - herunter und installiert diese.

XDSpy nutzt Microsoft-Schwachstelle aus

Ende Juni 2020 verschärften die Angreifer ihre Attacken, indem sie eine Schwachstelle im Internet Explorer, CVE-2020-0968, ausnutzten. Diese wurde zwar im April 2020 von Microsoft gepatcht, aber offensichtlich das Update nicht überall eingespielt. Anstatt eines Archivs mit einer LNK-Datei lieferte der Command&Control-Server eine RTF-Datei. Sobald diese geöffnet war, lud sie eine HTML-Datei herunter und nutzte die Schwachstelle aus.

CVE-2020-0968 ist Teil einer Reihe ähnlicher Schwachstellen. Eine davon ist beispielsweise in der alten JavaScript-Engine des Internet Explorers zu finden, die in den letzten zwei Jahren offengelegt wurde. Zu der Zeit, als diese Schwachstelle von XDSpy ausgenutzt wurde, waren kein Proof-of-Concept und nur sehr wenige Informationen über diese spezielle Schwachstelle online verfügbar. Vermutlich hatte die Hackergruppe diesen Exploit entweder von einem Broker gekauft oder selbst einen 1-Day-Exploit entwickelt.

Trittbrettfahrer: Mit COVID-19-Themen Opfer in die Falle gelockt

Die Hackergruppe ist in 2020 mindestens zweimal auf den COVID-19-Zug aufgesprungen. "Der letzte Fall wurde vor einigen Wochen entdeckt und zwar im Rahmen ihrer laufenden Spear-Phishing-Kampagnen", fügt ESET-Researcher Matthieu Faou hinzu. "Da wir keine Code-Ähnlichkeiten mit anderen Malware-Familien gefunden und keine Überschneidungen in der Netzwerkinfrastruktur beobachtet haben, gehen wir bei XDSpy von einer bisher nicht dokumentierten Gruppe aus", so Faou abschließend.

www.eset.com/de/


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

eBay

eBay Kleinanzeigen führt Bezahlfunktion ein

Das Internetportal eBay Kleinanzeigen hat eine neue Bezahlfunktion eingeführt, die Käufer und Verkäufer vor verschiedenen Risiken beim Online-Kauf schützen soll. Das kündigte das Unternehmen am Donnerstag in Kleinmachnow an. Das Portal reagiert damit auf…
Mobilfunk

Erste Mobilfunk-Karte mit allen Netzen in Deutschland veröffentlicht

Die Mobilfunkabdeckung in allen Dörfern, Städten und unbewohnten Gegenden Deutschlands ist erstmals auf einer Online-Karte der Bundesnetzagentur zu sehen. Auf der am Donnerstag freigeschalteten Webseite ist die Verfügbarkeit von allen drei Netzbetreibern…
Cyberangriff Gesundheitswesen

FBI warnt vor Cyberattacken auf Krankenhäuser

Die Zahl der Corona-Infizierten in den USA steigt erneut an - nun sind amerikanische Krankenhäuser auch noch einer Welle von Cyberangriffen ausgesetzt. Die Bundespolizei FBI warnte in der Nacht zum Donnerstag vor fortlaufenden Attacken mit dem…
Microsoft

Microsoft: Cyberattacke aus dem Iran auf Konferenzteilnehmer gestoppt

Microsoft ist es nach eigenen Angaben gelungen, eine Serie von Cyberattacken der iranischen Hackergruppe Phosphorus aufzudecken.
Hacker Office

Cyberkriminelle greifen Webseite des RKI an

Cyberkriminelle haben am vergangenen Donnerstag die Webseite des Robert Koch-Instituts (RKI) zeitweise lahmgelegt. Der Angriff sei morgens zwischen 8.00 und 10.00 Uhr erfolgt, sagte ein Sprecher des Informationstechnikzentrums Bund (ITZBund).
White Hat Hacker

Hackerone geht neue Partnerschaften ein

Hackerone, eine Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker – hat kürzlich eine Reihe neuer Partnerschaften bekanntgegeben, beispielsweise mit PagerDuty und ServiceNow. Ziel der neuen Kooperationen ist die Verwendung…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!