Es ist eine etwas überraschendes Ereignis: Kaspersky hat die chinesische Hacker-Gruppe ATP31 entdeckt, die neue CloudSorcerer-Angriffe auf Regierungsorganisationen in Russland durchführt. ATP31 soll allerdings von der chinesischen Regierung gesteuert sein.
Ende Juli 2024 identifizierten Kaspersky Experte eine aktive Serie gezielter Cyberangriffe auf Dutzende Computer russischer Regierungsorganisationen und IT-Unternehmen. Bei diesen Angriffen infizierten Angreifer Geräte mithilfe von Phishing-E-Mails mit Anhängen, die schädliche Verknüpfungsdateien enthielten. Beim Klicken auf die Verknüpfungen wurde Schadsoftware installiert, die anschließend Befehle über den Dropbox-Cloudspeicher erhielt. Mit dieser Software haben die Angreifer weitere Trojaner auf infizierte Computer heruntergeladen, insbesondere Tools der chinesischen Cybergruppe APT31 sowie eine aktualisierte CloudSorcerer-Hintertür. Die Kaspersky-Experten haben diese Kampagne EastWind genannt.
APT31? Die gehören eigentlich zu China
Laut Experten von Mandiant gehört ATP31 zu China und wird auch vermutlich von staatlichen Organen gelenkt. Die Gruppe zielt auf Regierungen, internationale Finanzorganisationen, Luft- und Raumfahrt- und Verteidigungsorganisationen sowie Hightech, Bau und Ingenieurwesen, Telekommunikation, Medien und Versicherungen.
Mandiant schreibt: APT31 ist ein Cyber-Spionage-Akteur mit China-Verbindung, dessen Schwerpunkt auf der Beschaffung von Informationen liegt, die der chinesischen Regierung und staatlichen Unternehmen politische, wirtschaftliche und militärische Vorteile verschaffen können.
EastWind nutzt Trojaner per Dropbox
Der von Angreifern aus dem Cloud-Speicher Dropbox heruntergeladene Trojaner wird seit mindestens 2021 von der APT31-Gruppe verwendet. Kaspersky nennt ihn GrewApacha. Die CloudSorcerer-Backdoor, die Experten bereits Anfang Juli 2024 beschrieben haben, wurden seither aktualisiert.
Die Angriffe nutzen ein bisher unbekanntes Implantat mit der Funktionalität einer klassischen Hintertür. Es wird über die CloudSorcerer-Hintertür geladen, verfügt über einen umfangreichen Befehlssatz und unterstützt drei verschiedene Protokolle für die Kommunikation mit der Kommandozentrale. Die Kasperky-Experten beschreiben in einem Blog-Beitrag den kompletten Angriffsablauf und die dabei verwendeten Komponenten.
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/