Cyberkriminelle der Gruppe TA402 attackieren Regierungen und Behörden im Nahen Osten

Derzeit läuft im Nahen Osten eine Kampagne der Gruppe TA402 (Threat Actor 402) gegen Regierungen und Behörden sowie internationale Regierungsorganisationen, die in der Region tätig sind.

Die Gruppe – auch bekannt unter dem Namen Molerats – versucht dabei mit Hilfe der Malware LastConn illegal an Informationen zu gelangen. Als Köder kommen hier politische und militärische Themen zur Anwendung, die sich mit den dortigen Konflikten beschäftigen. Die Anwender sollen zum Öffnen von Dateianhängen und dem Klick auf Links bewegt werden, um dadurch die Malware unfreiwillig zu installieren. 

Anzeige

TA402 ist eine APT-Gruppe (Advanced Persistent Threats) aus dem Nahen Osten, die häufig auf Einrichtungen in Israel und Palästina sowie in anderen Regionen des Nahen Ostens abzielt. Bei den im Jahr 2021 identifizierten Kampagnen nutzte TA402 geopolitische Themen dieser Region, darunter den anhaltenden Konflikt im Gaza-Streifen.

Die von Proofpoint entdeckte Malware ermöglicht es den Cyberkriminellen, über die infizierten Systeme wichtige Informationen in die Hände zu bekommen und Daten zu stehlen. Die Proofpoint-Forscher gehen davon aus, dass es sich bei LastConn mit hoher Wahrscheinlichkeit um eine aktualisierte Version der SharpStage-Malware handelt, die erstmals im Dezember 2020 von Cybereason gemeldet wurde.

TA402 setzt dabei auf mehrere Mechanismen, um eine automatisierte Bedrohungsanalyse zu umgehen, darunter Geofencing auf Basis von IP-Adressen, die Beschränkung auf Computer mit installierten arabischen Sprachpaketen und passwortgeschützte Archivdateien zur Verteilung der Malware. Das bedeutet, dass die Gruppe sehr gezielt einzelne Interessensgruppen und Parteien in der Region adressiert.

www.proofpoint.com/de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.