DeathStalker zielt auf Devisen- und Kryptowährungsmarkt

Beitrag teilen

APT-Akteur DeathStalker greift Unternehmen im Devisen- und Kryptowährungsmarkt an. Das durch Technik und Tarnung ausweichende „VileRAT“-Toolset wird über Spear-Phishing verbreitet. Durch die Angriffe sind auch Unternehmen in Deutschland betroffen.

Der Bedrohungsakteur DeathStalker hat sein durch Technik und Tarnung ausweichendes „VileRAT“-Toolset aktualisiert, um Kryptowährungs- und Devisenwechselunternehmen anzugreifen, wie aktuelle Kaspersky-Analysen zeigen. Die angegriffenen Organisationen befinden sich in Bulgarien, Zypern, Deutschland, Kuwait, Malta, den Vereinigten Arabischen Emiraten, Russland und auf den Grenadinen.

Hack-for-Hire-APT-Akteur

Bei DeathStalker handelt es sich um einen Hack-for-Hire-APT-Akteur, dessen Aktivitäten Kaspersky seit dem Jahr 2018 verfolgt. Er hatte bisher vor allem Anwaltskanzleien und Organisationen im Finanzsektor im Visier; die Angriffe schienen weder politisch noch finanziell motiviert zu sein. Die Kaspersky-Experten glauben, dass DeathStalker als eine Art Söldnergruppe fungiert und spezialisierte Hacking- oder Financial-Intelligence-Dienste anbietet. Mitte 2020 konnte Kaspersky eine neue und hochgradig ausweichende Infektion identifizieren, die auf dem „VileRAT“-Python-Implantat basiert. Seitdem haben die Experten die Aktivitäten des Akteurs genau verfolgt und festgestellt, dass er 2022 intensiv auf Devisen- (FOREX) und Kryptowährungs-Handelsunternehmen in der ganzen Welt fokussiert.

VileRAT kommt üblicherweise nach einer komplizierten Infektionskette, die mit Spear-Phishing-E-Mails beginnt, zum Einsatz. In diesem Sommer nutzten die Angreifer auch Chatbots, die in die öffentlichen Websites der betroffenen Unternehmen eingebettet sind, um schädliche Dokumente zu versenden. Die DOCX-Dokumente werden häufig mit den Schlüsselwörtern „Compliance“ oder „Complaint“ (sowie dem Namen des Zielunternehmens) gekennzeichnet und geben vor, es handle sich dabei um Antworten auf vermeintliche Identifizierungsanfragen oder um Problemmeldungen.

Raffinierte Tools die sich tarnen

Die VileRAT-Kampagne zeichnet sich durch die Raffinesse der verwendeten Tools und die riesige dahinterstehende, schädliche Infrastruktur (im Vergleich zu den zuvor dokumentierten DeathStalker-Aktivitäten), die zahlreichen Verschleierungstechniken, die während der gesamten Infektion verwendet werden, sowie ihre kontinuierliche und anhaltende Aktivität seit 2020 aus. Die aktuelle Kampagne zeigt, dass DeathStalker enorme Anstrengungen unternimmt, um Zugang zu seinen Zielen zu verschaffen und dann zu erhalten. Die möglichen Zielsetzungen der Angriffe reichen von Due Diligence, Vermögensabschöpfung, Unterstützung bei Rechtsstreitigkeiten oder Schiedsverfahren bis hin zur Umgehung von Sanktionen; ein direkter finanzieller Gewinn scheint weiterhin nicht Teil davon zu sein.

VileRaT zeigt kein besonderes Interesse an bestimmten Ländern; stattdessen berichten Kaspersky-Forscher von betroffenen Organisationen in Bulgarien, Zypern, Deutschland, Kuwait, Malta, den Vereinigten Arabischen Emiraten, Russland und auf den Grenadinen. Bei den identifizierten Organisationen handelt es sich um Unternehmen jeder Größe – von neu gegründeten Start-ups bis hin zu etablierten Branchenführern.

Täuschen, tarnen, sich verstecken

„Das Ziel von DeathStalker war schon immer, einer Entdeckung zu entkommen“, erklärt Pierre Delcher, Senior Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Die VileRAT-Kampagne brachte das Ganze aber jetzt auf ein neues Level. Hinsichtlich Komplexität und Verschleierung ist sie zweifellos die anspruchsvollste Kampagne, die wir jemals von diesem Akteur gesehen haben. Die Taktiken und Praktiken von DeathStalker sind effektiv, um leichtere Ziele anzugreifen. Diese sind möglicherweise nicht erfahren genug, um einem solchen Angriff standzuhalten, haben Sicherheit nicht zu einer der obersten Prioritäten ihrer Organisation gemacht oder interagieren häufig mit Dritten, die dies noch nicht getan haben.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Robotik, KI oder Firmenwagen – wo Manager Cybergefahren sehen

Deutsche und Schweizer C-Level Manager sehen besonders für das Home-Office Handlungsbedarf, um dort in der Zukunft sensible Daten besser zu ➡ Weiterlesen

Ohne Notfallplan ist der Datenverlust vorprogrammiert

In der Umfrage des Uptime Institute geben 60 Prozent der Unternehmen an, dass sie in den letzten drei Jahren einen ➡ Weiterlesen

Win 11 Copilot+ Recall: Microsoft baut auf Druck IT-Security ein

Kurz nachdem Microsoft Chef Satya Nadella Copilot+ Recall für Windows 11 vorgestellt hatte, haben Experten in Sachen IT-Security vernichtende Urteile ➡ Weiterlesen

CISOs unter Druck: Sollen Cyberrisiken herunterspielen

Die Studienergebnisse zum Umgang mit Cyberrisiken in Unternehmen haben es in sich. Die Trend Micro-Studie zeigt: Drei Viertel der deutschen ➡ Weiterlesen

APT-Gruppen: Viele Router als Teil riesiger Botnetze 

In einem Blogbeitrag analysiert Trend Micro wie Pawn Storm (auch APT28 oder Forest Blizzard) und andere APT-Akteure Router kompromittieren und ➡ Weiterlesen

Microsofts Copilot+ Recall: Gefährliche Totalüberwachung?

Microsoft sieht es als Superservice, Security-Experten als Super-GAU: Microsofts Copilot+ Recall für Windows 11 zeichnet alle 5 Sekunden die Tätigkeiten ➡ Weiterlesen

Ransomware: 97 Prozent der Betroffen sucht Rat bei Behörden

Enorm viele Unternehmen wenden sich bei einer Cyberattacke an behördliche Einrichtungen. Der aktuelle Sophos State of Ransomware Report bestätig, dass ➡ Weiterlesen

KI unterstützt sicheres Datenmanagement

Heutzutage nutzen Cyberkriminelle Künstliche Intelligenz (KI), um ihre Angriffe noch wirkungsvoller zu gestalten. Um diese Attacken effektiv abzuwehren, ist es ➡ Weiterlesen