APT-Gruppe TA397 attackiert Rüstungsunternehmen

B2B Cyber Security ShortNews

Beitrag teilen

Security-Experten haben einen neuen Angriff der APT-Gruppe TA397  – auch unter dem Namen „Bitter“ bekannt – näher analysiert. Start war wie so oft eine spezielle Spear-Phishing-E-Mail mit Anhang. Darin versteckt eine Verknüpfungsdatei und bösartiger PowerShell-Code.

Die Attacke richtete sich gegen eine Organisation aus der türkischen Rüstungsbranche und fand im November 2024 statt. Die Cybercrime-Gruppe, die für Spionageangriffe in Europa und dem asiatisch-pazifischen Raum bekannt ist, nutzte dabei neue Angriffsmethoden, die eine ihre bisherigen Taktiken, Techniken und Verfahren (TTPs) weiterentwickeln. Insbesondere die Verwendung von alternativen Datenströmen (ADS) innerhalb von RAR-Archiven ist dabei bemerkenswert.

Anzeige

Angriff per Spear-Phishing-E-Mail

Der Angriff begann mit einer Spear-Phishing-E-Mail, die von einem kompromittierten Konto einer Regierungsorganisation stammte. Die Mail enthielt als Dateianhang ein RAR-Archiv mit einer harmlosen PDF-Datei über ein Weltbank-Infrastrukturprojekt in Madagaskar. Versteckt im Archiv befanden sich jedoch auch eine getarnte Verknüpfungsdatei (LNK) sowie versteckte ADS-Dateien, die einen bösartigen PowerShell-Code enthielten.

Bei Öffnung der LNK-Datei wurde der versteckte PowerShell-Code ausgeführt, während die harmlose PDF angezeigt wurde. Der Code erstellte eine geplante Aufgabe („DsSvcCleanup“), die alle 17 Minuten Systeminformationen an einen Staging-Server (jacknwoods[.]com) sendete. Die Angreifer reagierten manuell auf diese Anfragen und übertrugen in diesem Fall zwei verschiedene Malware-Familien: WmRAT und MiyaRAT. Zusätzlich erbeuteten sie Informationen über das Zielsystem, einschließlich laufender Prozesse und installierter Antivirensoftware.

Laut Experten von Proofpoint: Die Kampagne zeigt charakteristische Merkmale von TA397 und deutet auf eine Weiterentwicklung ihrer Taktiken. Die Zeitzonenanalyse (UTC+5:30) und weitere Indizien legen nahe, dass die Gruppe im Auftrag einer südasiatischen Regierung operiert. Die vollständige Analyse der Experten wurden in einem Blog-Beitrag aufgearbeitet.

Mehr bei Proofpoint.com

 


Über Proofpoint

Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.


 

Passende Artikel zum Thema

E-Mail-Schutz vor komplexen Cyberangriffen

Ein Cybersicherheitsunternehmen für umfassenden E-Mail-Schutz vor komplexen Bedrohungen stellt Weiterentwicklungen vor. Die Updates umfassen unter anderem flexible Bereitstellungsoptionen und verbesserte ➡ Weiterlesen

Cyberkriminelle missbrauchen DeepSeek für Betrugsmaschen

Mit dem Fortschritt künstlicher Intelligenz entwickeln sich auch die Methoden von Cyberkriminellen weiter. Der jüngste Anstieg KI-gestützter Betrugsmaschen rund um ➡ Weiterlesen

Warnung vor chinesischer Ransomware-Bande Ghost

Die US-amerikanischen Behörden CISA, FBI und das Multi-State Information Sharing and Analysis Center (MS-ISAC) haben gemeinsam eine Analyse der Aktivitäten ➡ Weiterlesen

Cyberattacken gegen das Landesdatennet in Thüringen

Das Landesdatennetz in Thüringen muss vielfältige digitale Angriffe abwehren. Teilweise gab es im vergangenen Jahr gezielte Attacken auf Systeme der ➡ Weiterlesen

PlushDaemon: Neue chinesische APT-Gruppe entdeckt

Die chinesische APT-Hackergruppe PlushDaemon greift sowohl Unternehmen als auch Privatnutzer auf der ganzen Welt an. Mit dem Backdoor "Slow Stepper" ➡ Weiterlesen

Phishing: Neue Attacken über kompromittierte Reisebüro-Konten

Aktuell nutzen Cyberkriminelle die Konten einer bekannten Reiseagentur, um Phishing-Mails in Umlauf zu bringen und auf diese Weise Schadsoftware zu ➡ Weiterlesen

Deutsche Unternehmensnetzwerke von Angriffen bedroht

Laut einer aktuellen IT-Sicherheitsstudie ist das Unternehmensnetzwerk jeder zweiten deutschen Organisation Ziel von Cyberangriffen. Bei rund 40 Prozent von ihnen ➡ Weiterlesen

Orchestrierung der E-Mail-Verschlüsselung

E-Mails sind ein unverzichtbares Werkzeug in einer Arbeitswelt, die immer dezentraler wird. Aber wie lassen sich Praktikabilität, Resilienz und Vertrauen ➡ Weiterlesen