APT-Akteur DeathStalker greift Unternehmen im Devisen- und Kryptowährungsmarkt an. Das durch Technik und Tarnung ausweichende „VileRAT“-Toolset wird über Spear-Phishing verbreitet. Durch die Angriffe sind auch Unternehmen in Deutschland betroffen.
Der Bedrohungsakteur DeathStalker hat sein durch Technik und Tarnung ausweichendes „VileRAT“-Toolset aktualisiert, um Kryptowährungs- und Devisenwechselunternehmen anzugreifen, wie aktuelle Kaspersky-Analysen zeigen. Die angegriffenen Organisationen befinden sich in Bulgarien, Zypern, Deutschland, Kuwait, Malta, den Vereinigten Arabischen Emiraten, Russland und auf den Grenadinen.
Hack-for-Hire-APT-Akteur
Bei DeathStalker handelt es sich um einen Hack-for-Hire-APT-Akteur, dessen Aktivitäten Kaspersky seit dem Jahr 2018 verfolgt. Er hatte bisher vor allem Anwaltskanzleien und Organisationen im Finanzsektor im Visier; die Angriffe schienen weder politisch noch finanziell motiviert zu sein. Die Kaspersky-Experten glauben, dass DeathStalker als eine Art Söldnergruppe fungiert und spezialisierte Hacking- oder Financial-Intelligence-Dienste anbietet. Mitte 2020 konnte Kaspersky eine neue und hochgradig ausweichende Infektion identifizieren, die auf dem „VileRAT“-Python-Implantat basiert. Seitdem haben die Experten die Aktivitäten des Akteurs genau verfolgt und festgestellt, dass er 2022 intensiv auf Devisen- (FOREX) und Kryptowährungs-Handelsunternehmen in der ganzen Welt fokussiert.
VileRAT kommt üblicherweise nach einer komplizierten Infektionskette, die mit Spear-Phishing-E-Mails beginnt, zum Einsatz. In diesem Sommer nutzten die Angreifer auch Chatbots, die in die öffentlichen Websites der betroffenen Unternehmen eingebettet sind, um schädliche Dokumente zu versenden. Die DOCX-Dokumente werden häufig mit den Schlüsselwörtern „Compliance“ oder „Complaint“ (sowie dem Namen des Zielunternehmens) gekennzeichnet und geben vor, es handle sich dabei um Antworten auf vermeintliche Identifizierungsanfragen oder um Problemmeldungen.
Raffinierte Tools die sich tarnen
Die VileRAT-Kampagne zeichnet sich durch die Raffinesse der verwendeten Tools und die riesige dahinterstehende, schädliche Infrastruktur (im Vergleich zu den zuvor dokumentierten DeathStalker-Aktivitäten), die zahlreichen Verschleierungstechniken, die während der gesamten Infektion verwendet werden, sowie ihre kontinuierliche und anhaltende Aktivität seit 2020 aus. Die aktuelle Kampagne zeigt, dass DeathStalker enorme Anstrengungen unternimmt, um Zugang zu seinen Zielen zu verschaffen und dann zu erhalten. Die möglichen Zielsetzungen der Angriffe reichen von Due Diligence, Vermögensabschöpfung, Unterstützung bei Rechtsstreitigkeiten oder Schiedsverfahren bis hin zur Umgehung von Sanktionen; ein direkter finanzieller Gewinn scheint weiterhin nicht Teil davon zu sein.
VileRaT zeigt kein besonderes Interesse an bestimmten Ländern; stattdessen berichten Kaspersky-Forscher von betroffenen Organisationen in Bulgarien, Zypern, Deutschland, Kuwait, Malta, den Vereinigten Arabischen Emiraten, Russland und auf den Grenadinen. Bei den identifizierten Organisationen handelt es sich um Unternehmen jeder Größe – von neu gegründeten Start-ups bis hin zu etablierten Branchenführern.
Täuschen, tarnen, sich verstecken
„Das Ziel von DeathStalker war schon immer, einer Entdeckung zu entkommen“, erklärt Pierre Delcher, Senior Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Die VileRAT-Kampagne brachte das Ganze aber jetzt auf ein neues Level. Hinsichtlich Komplexität und Verschleierung ist sie zweifellos die anspruchsvollste Kampagne, die wir jemals von diesem Akteur gesehen haben. Die Taktiken und Praktiken von DeathStalker sind effektiv, um leichtere Ziele anzugreifen. Diese sind möglicherweise nicht erfahren genug, um einem solchen Angriff standzuhalten, haben Sicherheit nicht zu einer der obersten Prioritäten ihrer Organisation gemacht oder interagieren häufig mit Dritten, die dies noch nicht getan haben.“
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/