APT-Report: Chinesische Bedrohungsaketure machen Europa unsicher

APT-Report: Chinesische Bedrohungsaketure machen Europa unsicher

Beitrag teilen

Der europäische IT-Sicherheitshersteller ESET hat seinen aktuellen „APT Activity Report T3 2022“ veröffentlicht. Schwerpunkt: Chinesische Hackergruppen sind in Europa aktiv und russische Hackergruppen haben Ukraine weiterhin verstärkt im Visier.

In diesen Berichten werden regelmäßig Untersuchungsergebnisse zu ausgewählten Advanced Persistent Threat (APT)-Gruppen zusammengefasst. In der jüngsten Ausgabe, die den Zeitraum von September bis Dezember 2022 beleuchtet, präsentieren die ESET Experten ihre neuesten Erkenntnisse zu verschiedenen weltweiten Hackerkampagnen. Mit China verbündete Gruppen haben ihre Aktivitäten auf europäische Länder verlagert. Auch die Ukraine ist weiterhin im Visier russischer Hacker wie Sandworm, Callisto oder Gamaredon. Darüber hinaus operieren mit dem Iran und Nordkorea in Verbindung stehende Gruppen weiterhin im großen Umfang.

Anzeige

Chinessische Bedrohungsaketure machen Europa unsicher

„Europäische Länder sind für chinesische APT-Gruppen immer interessanter. Normalerweise fokussierten mit China verbündete Hackergruppen wie Goblin Panda und Mustang Panda ihre Aktivitäten eher auf Südostasien“, erklärt Jan-Ian Boutin, Direktor von ESET Threat Research. „Doch im vergangenen November fanden ESET-Forscher eine neue Backdoor namens TurboSlate in einer Regierungsorganisation in der Europäischen Union. Die Malware konnte auf Goblin Panda zurückgeführt werden, die damit anscheinend das Tätigkeitsfeld von der APT-Gruppe Mustang Panda kopiert. Letztere haben Anfang 2022 europäische Ziele für sich entdeckt. „Die Cyberspionage-Gruppe ist dafür bekannt, Regierungseinrichtungen, Unternehmen und Forschungseinrichtungen anzugreifen. Im vergangenen September entdeckten ESET Experten einen Korplug-Loader, der von den Hackern bei einem Unternehmen im Schweizer Energie- und Techniksektor verwendet wurde“, so Boutin weiter.

Der Cyberkrieg in der Ukraine geht weiter

Auch die berüchtigte Sandworm-Gruppe ist weiterhin sehr aktiv und setzt ihre Operationen gegen die Ukraine fort. Die ESET Forscher stießen auf einen bisher unbekannten Wiper, der im Oktober 2022 gegen ein Unternehmen des Energiesektors im osteuropäischen Land eingesetzt wurde. Der beschriebene Angriff fand zu dem Zeitpunkt statt, als die russischen Streitkräfte begannen, Raketenangriffe auf die Energieinfrastruktur zu starten. Auch wenn ESET nicht nachweisen kann, dass diese Ereignisse koordiniert waren, deutet dies darauf hin, dass Sandworm und das russische Militär ähnliche Ziele verfolgen.

ESET hat den neuesten Wiper, der aus einer Reihe von zuvor entdeckten Wipern stammt, NikoWiper genannt. Das Schadprogramm basiert auf SDelete, einem Befehlszeilenprogramm von Microsoft, das zum sicheren Löschen von Dateien verwendet wird. Neben Daten löschender Malware, entdeckten ESET Forscher auch Angriffe von Sandworm, bei denen Ransomware als Wiper zum Einsatz kamen. Die Verschlüsselungssoftware hatte das gleiche Ziel wie die Wiper, es ging ausschließlich um die Zerstörung von Daten. Das zeigt sich vor allem daran, dass die Bereitstellung eines Entschlüsselungsschlüssel nie geplant war.

Sandworm, Callisto, Gamaredon

Neben Sandworm haben auch andere russische APT-Gruppen wie Callisto und Gamaredon ihre Spearphishing-Kampagnen gegen die Ukraine weitergeführt, um Anmeldedaten zu stehlen und Malware zu installieren. Im Oktober 2022 entdeckte ESET die Ransomware Prestige, die gegen Logistikunternehmen in der Ukraine und Polen eingesetzt wurde. Einen Monat später fanden ESET Forscher in der Ukraine eine neue, in .NET geschriebene Verschlüsselungssoftware, die sie RansomBoggs nannten. ESET Research veröffentlichte ihre Untersuchungsergebnisse zu dieser Kampagne auf dem gleichnamigen Twitter-Account.

Iran und Nordkorea operieren nach wie vor im großen Stil

Auch mit dem Iran verbündete Gruppen führen ihre Angriffe fort – neben israelischen Unternehmen nahm POLONIUM auch die ausländischen Tochtergesellschaften israelischer Unternehmen ins Visier. Die iranische APT-Gruppe MuddyWater wird darüber hinaus verdächtigt, einen Anbieter von verwalteten Sicherheitsdiensten kompromittiert zu haben.

Die mit Nordkorea in Verbindung stehende Hackergruppe Konni nutzte alte Sicherheitslücken, um Kryptowährungsfirmen und -börsen in verschiedenen Teilen der Welt zu beeinträchtigen. ESET Forscher entdeckten, dass die Bedrohungsakteure das Repertoire der Sprachen, die es in seinen Täuschungsdokumenten verwendet, um Englisch erweitert haben. Das deutet darauf hin, dass sie ihren Aktionsradius nicht mehr ausschließlich auf die üblichen russischen und südkoreanischen Ziele beschränken.

Hintergrund zum APT Activity Report

In Ergänzung zum ESET Threat Report veröffentlicht ESET Research den ESET APT Activity Report, der einen regelmäßigen Überblick über Untersuchungsergebnisse zu den Aktivitäten von Advanced Persistent Threats (APT) gibt. Die erste Ausgabe umfasst den Zeitraum Mai bis August 2022. Der APT-Report soll zukünftig begleitend zum ESET Threat Report erscheinen.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

Cyberangriffe: Russland hat es auf deutsche KRITIS abgesehen

Russland setzt gezielt destruktive Schadsoftware ein und bedroht mit seiner digitalen Kriegsführung kritische Infrastrukturen in Deutschland. Durch die zunehmende Aggressivität, ➡ Weiterlesen

DORA: Stärkere Cybersecurity für Finanzunternehmen

Der Digital Operational Resilience Act (DORA) soll die IT-Sicherheit und das Risikomanagement in der Finanzbranche stärken, indem er strenge Anforderungen ➡ Weiterlesen

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

E-Mails: Sicherheit in den meisten Unternehmen mangelhaft

Jede achte Organisation war im letzten Jahr von einer Sicherheitsverletzung im E-Mail-Bereich betroffen, so die Studie “Email Security Threats Against ➡ Weiterlesen