DeathStalker attackiert deutsche Nutzer

Kaspersky_news

Beitrag teilen

APT-Akteur DeathStalker attackiert Nutzer in Deutschland und auch der Schweiz. Ziel des Akteurs: Unternehmen im Finanz- und Rechtssektor. Neue Backdoor „PowerPepper“ nutzt diverse Verschleierungstechniken.

Der Advanced-Persistent-Threat-(APT)-Akteur DeathStalker bietet jetzt vermutlich Hacking-for-Hire-Dienste an, um vertrauliche Geschäftsinformationen von Unternehmen im Finanz- und Rechtssektor zu stehlen. Die Experten von Kaspersky haben nun neue Aktivitäten des Akteurs ausmachen können und eine neue Malware-Implantations- und Bereitstellungstaktik entdeckt: Die Backdoor PowerPepper nutzt DNS über HTTPS als Kommunikationskanal, um die Kommunikation hinter legitimen Kontrollservernamenabfragen zu verstecken. Darüber hinaus verwendet PowerPepper verschiedene Verschleierungstechniken wie Steganographie.

Anzeige

Besonders KMU im Visier

Bei DeathStalker handelt es sich um einen sehr ungewöhnlichen APT-Akteur. Die seit mindestens 2012 aktive Gruppe führt Spionagekampagnen gegen kleine und mittlere Unternehmen wie Anwaltskanzleien oder Vertretungen des Finanzsektors durch. Im Gegensatz zu anderen APT-Gruppen scheint DeathStalker nicht politisch motiviert zu sein oder finanziellen Gewinn durch die angegriffenen Unternehmen erzielen zu wollen. Die Hintermänner agieren vielmehr als Söldner und bieten ihre Hacking-Dienste gegen Bezahlung an.

Kaspersky-Forscher haben nun eine neue schädliche Kampagne der Gruppe, mit der Backdoor PowerPepper, aufgedeckt. Wie andere Malware von DeathStalker wird PowerPepper üblicherweise über Spear-Phishing-Mails verbreitet, wobei die schädlichen Dateien über den E-Mail-Text oder innerhalb eines maliziösen Links übermittelt werden. Dazu hat die Gruppe internationale Ereignisse, Vorschriften zu CO2-Emissionen oder auch die Corona-Pandemie genutzt, um ihre Opfer dazu zu bringen, die schädlichen Dokumente zu öffnen.

Steganografie als Tarnung

Die schädliche Haupt-Payload wird mithilfe von Steganografie getarnt, womit die Angreifer Daten inmitten legitimer Inhalte verstecken können. Im Fall von PowerPepper wird der Schadcode in scheinbar normalen Bildern von Farnen oder Paprika (vgl. English „pepper“ zur Namensgebung) eingebettet und dann von einem Loader-Skript extrahiert. Danach beginnt PowerPepper mit der Ausführung von Remote-Shell-Befehlen, die sie von den DeathStalker-Akteuren erhält und die darauf abzielen, vertrauliche Geschäftsinformationen zu entwenden. Die Malware kann jeden Shell-Befehl auf dem Zielsystem ausführen, einschließlich solcher für die standardisierte Data Reconnaissance, wie das Sammeln von Nutzer- und Dateiinformationen des Computers, das Durchsuchen von Netzwerkdateifreigaben und das Herunterladen zusätzlicher Binärdateien oder das Kopieren von Inhalten an remote Speicherorte. Die Befehle werden vom Kontrollserver mittels DNS über HTTPS-Kommunikation abgerufen – eine effektive Methode, um schädliche Kommunikation hinter legitimen Servernamenabfragen zu verstecken.

Mehr dazu auf SecureList von Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Report: Gemini wird von staatlichen Hackergruppen missbraucht 

Die Google Threat Intelligence Group (GTIG) zeigt in einem Bericht, dass besonders iranische, chinesische, nordkoreanische und russische Hackergruppen auf die ➡ Weiterlesen

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen

Lexmark-Geräte mit fünf gefährlichen Schwachstellen

Anbieter Lexmark meldet eine kritische und vier hochgefährliche Schwachstellen für seine Geräte. Bei allen lässt sich Remote-Code ausführen, bei der ➡ Weiterlesen

Cyberspionage: Europäische Behörden im Visier – auch Deutschland

Security-Experten haben eine Cyberspionage gegen europäische Behörden entdeckt. Hinter den Angriffen stecken möglicherweise russische Gruppen die auch Behörden in Deutschland ➡ Weiterlesen

SonicWall Firewall-Appliance mit kritischer Schwachstelle

SonicWall informiert über eine kritische 9.8 Schwachstelle in der Appliance vom Typ SMA1000. SonicWall stellt ein entsprechendes Update bereit, welches ➡ Weiterlesen

Angriffe 2024: Anmeldedaten waren häufigstes Ziel

Ein Report hat Cyberattacken in 2024 analysiert und dabei festgestellt: Die meisten Angreifer brechen nicht ein, sondern loggen sich mit ➡ Weiterlesen

Microsoft Teams: E-Mail-Bombing und Voice Phishing

Cyberkriminelle missbrauchen Microsoft Teams als Einfallstor für ihre Angriffe. Sie versuchen dann Daten abzuziehen oder Ransomware zu platzieren. Mit im ➡ Weiterlesen

Sicherheitszertifizierung FIPS 140-3 Level 3

Ein Spezialist für hardwareverschlüsselte USB-Laufwerke und die zentrale USB-Laufwerksverwaltung SafeConsole, ist mit mehreren Speichergeräten auf der FIPS 140-3 Modules-In-Process-Liste der ➡ Weiterlesen