DeathStalker zielt auf Devisen- und Kryptowährungsmarkt

Beitrag teilen

APT-Akteur DeathStalker greift Unternehmen im Devisen- und Kryptowährungsmarkt an. Das durch Technik und Tarnung ausweichende „VileRAT“-Toolset wird über Spear-Phishing verbreitet. Durch die Angriffe sind auch Unternehmen in Deutschland betroffen.

Der Bedrohungsakteur DeathStalker hat sein durch Technik und Tarnung ausweichendes „VileRAT“-Toolset aktualisiert, um Kryptowährungs- und Devisenwechselunternehmen anzugreifen, wie aktuelle Kaspersky-Analysen zeigen. Die angegriffenen Organisationen befinden sich in Bulgarien, Zypern, Deutschland, Kuwait, Malta, den Vereinigten Arabischen Emiraten, Russland und auf den Grenadinen.

Hack-for-Hire-APT-Akteur

Bei DeathStalker handelt es sich um einen Hack-for-Hire-APT-Akteur, dessen Aktivitäten Kaspersky seit dem Jahr 2018 verfolgt. Er hatte bisher vor allem Anwaltskanzleien und Organisationen im Finanzsektor im Visier; die Angriffe schienen weder politisch noch finanziell motiviert zu sein. Die Kaspersky-Experten glauben, dass DeathStalker als eine Art Söldnergruppe fungiert und spezialisierte Hacking- oder Financial-Intelligence-Dienste anbietet. Mitte 2020 konnte Kaspersky eine neue und hochgradig ausweichende Infektion identifizieren, die auf dem „VileRAT“-Python-Implantat basiert. Seitdem haben die Experten die Aktivitäten des Akteurs genau verfolgt und festgestellt, dass er 2022 intensiv auf Devisen- (FOREX) und Kryptowährungs-Handelsunternehmen in der ganzen Welt fokussiert.

VileRAT kommt üblicherweise nach einer komplizierten Infektionskette, die mit Spear-Phishing-E-Mails beginnt, zum Einsatz. In diesem Sommer nutzten die Angreifer auch Chatbots, die in die öffentlichen Websites der betroffenen Unternehmen eingebettet sind, um schädliche Dokumente zu versenden. Die DOCX-Dokumente werden häufig mit den Schlüsselwörtern „Compliance“ oder „Complaint“ (sowie dem Namen des Zielunternehmens) gekennzeichnet und geben vor, es handle sich dabei um Antworten auf vermeintliche Identifizierungsanfragen oder um Problemmeldungen.

Raffinierte Tools die sich tarnen

Die VileRAT-Kampagne zeichnet sich durch die Raffinesse der verwendeten Tools und die riesige dahinterstehende, schädliche Infrastruktur (im Vergleich zu den zuvor dokumentierten DeathStalker-Aktivitäten), die zahlreichen Verschleierungstechniken, die während der gesamten Infektion verwendet werden, sowie ihre kontinuierliche und anhaltende Aktivität seit 2020 aus. Die aktuelle Kampagne zeigt, dass DeathStalker enorme Anstrengungen unternimmt, um Zugang zu seinen Zielen zu verschaffen und dann zu erhalten. Die möglichen Zielsetzungen der Angriffe reichen von Due Diligence, Vermögensabschöpfung, Unterstützung bei Rechtsstreitigkeiten oder Schiedsverfahren bis hin zur Umgehung von Sanktionen; ein direkter finanzieller Gewinn scheint weiterhin nicht Teil davon zu sein.

VileRaT zeigt kein besonderes Interesse an bestimmten Ländern; stattdessen berichten Kaspersky-Forscher von betroffenen Organisationen in Bulgarien, Zypern, Deutschland, Kuwait, Malta, den Vereinigten Arabischen Emiraten, Russland und auf den Grenadinen. Bei den identifizierten Organisationen handelt es sich um Unternehmen jeder Größe – von neu gegründeten Start-ups bis hin zu etablierten Branchenführern.

Täuschen, tarnen, sich verstecken

„Das Ziel von DeathStalker war schon immer, einer Entdeckung zu entkommen“, erklärt Pierre Delcher, Senior Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Die VileRAT-Kampagne brachte das Ganze aber jetzt auf ein neues Level. Hinsichtlich Komplexität und Verschleierung ist sie zweifellos die anspruchsvollste Kampagne, die wir jemals von diesem Akteur gesehen haben. Die Taktiken und Praktiken von DeathStalker sind effektiv, um leichtere Ziele anzugreifen. Diese sind möglicherweise nicht erfahren genug, um einem solchen Angriff standzuhalten, haben Sicherheit nicht zu einer der obersten Prioritäten ihrer Organisation gemacht oder interagieren häufig mit Dritten, die dies noch nicht getan haben.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Zunahme von Fog- und Akira-Ransomware

Im September gab SonicWall bekannt, dass CVE-2024-40766 aktiv ausgenutzt wird. Zwar hat Arctic Wolf keine eindeutigen Beweise dafür, dass diese ➡ Weiterlesen

Chefs meinen IT-Security sei ganz „easy“

Jeder vierte Verantwortliche für IT-Security in Unternehmen muss sich den Vorwurf von Vorgesetzten anhören, Cybersicherheit sei doch ganz einfach. Externe ➡ Weiterlesen

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

PKI-Zertifikate sicher verwalten

Mit der Zunahme von Hard- und Software nimmt die Anzahl von Zertifikaten für diese Geräte zu. Ein Cybersicherheitsunternehmen hat jetzt ➡ Weiterlesen

Cloud-Sicherheitsstrategien: eBook gibt Tipps

Cloud-Computing nimmt immer weiter zu. Das ebook erklärt effektive Cloud-Sicherheitsstrategien, inklusive Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse ➡ Weiterlesen

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen