Mandiant Threat Intelligence beobachtet die chinesische Hackergruppe APT41 und deren Aktivitäten. Sie zielt gerade auf US-Behörden, nutz aktiv die Log4j-Schwachstelle aus und verteilt kräftig Ransomware.
Darüber hinaus hat Mandiant neue Erkenntnisse in einer andauernden Recherche zu APT41 erlangt, der chinesischen Hackergruppe, die im Auftrag des MSS, Chinas zivilem Geheimdienst, Cyberspionage betreibt.
APT41 greift US-Behörden und Log4j-Schwachstelle an
- Kompromittierung von mindestens sechs US-Regierungsbehörden durch Ausnutzung von Schwachstellen in internetbasierten Webanwendungen.
- Ausnutzung der berüchtigten Log4j-Schwachstelle innerhalb von nur zwei Tagen, nachdem die Apache Foundation diese bekannt gegeben hatte.
- Anpassung der Malware an die Umgebungen ihrer Opfer und häufige Aktualisierung der verschlüsselten Daten in einem Forenbeitrag, durch den die Malware den Schlüssel und die Entsperrungsanweisungen von den Command & Control-Servern erhielt.
- Die übergeordneten Ziele der Kampagne von APT41 bleiben unklar. Die Hartnäckigkeit, mit der sie sich Zugang zu Regierungsnetzwerken verschaffen, zeigt sich darin, dass sie frühere Opfer erneut kompromittieren und mehrere Behörden desselben Staates ins Visier nehmen. Was auch immer sie suchen, es ist von Bedeutung. Die Hackergruppe ist überall zu finden – das ist besorgniserregend.
Geoff Ackerman, Principal Threat Analyst bei Mandiant fasst die Erkenntnisse wie folgt zusammen:
„Während der anhaltende Krieg in der Ukraine zu Recht die Aufmerksamkeit der Weltöffentlichkeit auf sich zieht und das Potenzial für russische Cyberbedrohungen real ist, dürfen wir nicht vergessen, dass andere bedeutende Hackergruppen auf der ganzen Welt ihre Aktivitäten wie gewohnt fortsetzen. Wir dürfen nicht zulassen, dass andere Cyber-Aktivitäten aus dem Blickfeld geraten, insbesondere wenn wir feststellen, dass die Kampagne von APT41, einer der aktivsten Hackergruppen überhaupt, bis heute andauert.
Die Vorliebe für Web-Exploits beim Angriff auf öffentlich zugängliche Webanwendungen und die Fähigkeit, die Ziele je nach verfügbaren Angriffsmöglichkeiten schnell zu ändern, zeigen, dass APT41 weiterhin eine erhebliche Bedrohung für öffentliche und private Unternehmen auf der ganzen Welt darstellt.“
Mehr bei Mandiant.com
Über Mandiant Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.