Thought Leadership
Derzeit läuft im Nahen Osten eine Kampagne der Gruppe TA402 (Threat Actor 402) gegen Regierungen und Behörden sowie internationale Regierungsorganisationen, die in der Region tätig sind.
Die Gruppe – auch bekannt unter dem Namen Molerats – versucht dabei mit Hilfe der Malware LastConn illegal an Informationen zu gelangen. Als Köder kommen hier politische und militärische Themen zur Anwendung, die sich mit den dortigen Konflikten beschäftigen. Die Anwender sollen zum Öffnen von Dateianhängen und dem Klick auf Links bewegt werden, um dadurch die Malware unfreiwillig zu installieren.
TA402 ist eine APT-Gruppe (Advanced Persistent Threats) aus dem Nahen Osten, die häufig auf Einrichtungen in Israel und Palästina sowie in anderen Regionen des Nahen Ostens abzielt. Bei den im Jahr 2021 identifizierten Kampagnen nutzte TA402 geopolitische Themen dieser Region, darunter den anhaltenden Konflikt im Gaza-Streifen.
Die von Proofpoint entdeckte Malware ermöglicht es den Cyberkriminellen, über die infizierten Systeme wichtige Informationen in die Hände zu bekommen und Daten zu stehlen. Die Proofpoint-Forscher gehen davon aus, dass es sich bei LastConn mit hoher Wahrscheinlichkeit um eine aktualisierte Version der SharpStage-Malware handelt, die erstmals im Dezember 2020 von Cybereason gemeldet wurde.
TA402 setzt dabei auf mehrere Mechanismen, um eine automatisierte Bedrohungsanalyse zu umgehen, darunter Geofencing auf Basis von IP-Adressen, die Beschränkung auf Computer mit installierten arabischen Sprachpaketen und passwortgeschützte Archivdateien zur Verteilung der Malware. Das bedeutet, dass die Gruppe sehr gezielt einzelne Interessensgruppen und Parteien in der Region adressiert.
www.proofpoint.com/de
