EastWind-Kampagne: China-Hacker vs. russische Regierung

B2B Cyber Security ShortNews

Beitrag teilen

Es ist eine etwas überraschendes Ereignis: Kaspersky hat die chinesische Hacker-Gruppe ATP31 entdeckt, die neue CloudSorcerer-Angriffe auf Regierungsorganisationen in Russland durchführt. ATP31 soll allerdings von der chinesischen Regierung gesteuert sein.

Ende Juli 2024 identifizierten Kaspersky Experte eine aktive Serie gezielter Cyberangriffe auf Dutzende Computer russischer Regierungsorganisationen und IT-Unternehmen. Bei diesen Angriffen infizierten Angreifer Geräte mithilfe von Phishing-E-Mails mit Anhängen, die schädliche Verknüpfungsdateien enthielten. Beim Klicken auf die Verknüpfungen wurde Schadsoftware installiert, die anschließend Befehle über den Dropbox-Cloudspeicher erhielt. Mit dieser Software haben die Angreifer weitere Trojaner auf infizierte Computer heruntergeladen, insbesondere Tools der chinesischen Cybergruppe APT31 sowie eine aktualisierte CloudSorcerer-Hintertür. Die Kaspersky-Experten haben diese Kampagne EastWind genannt.

Anzeige

APT31? Die gehören eigentlich zu China

Laut Experten von Mandiant gehört ATP31 zu China und wird auch vermutlich von staatlichen Organen gelenkt. Die Gruppe zielt auf Regierungen, internationale Finanzorganisationen, Luft- und Raumfahrt- und Verteidigungsorganisationen sowie Hightech, Bau und Ingenieurwesen, Telekommunikation, Medien und Versicherungen.

Mandiant schreibt: APT31 ist ein Cyber-Spionage-Akteur mit China-Verbindung, dessen Schwerpunkt auf der Beschaffung von Informationen liegt, die der chinesischen Regierung und staatlichen Unternehmen politische, wirtschaftliche und militärische Vorteile verschaffen können.

EastWind nutzt Trojaner per Dropbox

Der von Angreifern aus dem Cloud-Speicher Dropbox heruntergeladene Trojaner wird seit mindestens 2021 von der APT31-Gruppe verwendet. Kaspersky nennt ihn GrewApacha. Die CloudSorcerer-Backdoor, die Experten bereits Anfang Juli 2024 beschrieben haben, wurden seither aktualisiert.
Die Angriffe nutzen ein bisher unbekanntes Implantat mit der Funktionalität einer klassischen Hintertür. Es wird über die CloudSorcerer-Hintertür geladen, verfügt über einen umfangreichen Befehlssatz und unterstützt drei verschiedene Protokolle für die Kommunikation mit der Kommandozentrale. Die Kasperky-Experten beschreiben in einem Blog-Beitrag den kompletten Angriffsablauf und die dabei verwendeten Komponenten.

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Backdoor in Überwachungsmonitor als Schwachstelle eingestuft

Am 30. Januar veröffentlichte die US-amerikanische Cybersicherheitsbehörde CISA eine Warnung zu einer Backdoor in medizinischen Überwachungsmonitoren, die durch eine Benachrichtigung ➡ Weiterlesen

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Cyberkriminelle: Skepsis gegenüber KI – Hoffnung bei DeepSeek

Eine Untersuchung von Sophos X-Ops in ausgewählten Cybercrime-Foren ergab, dass Bedrohungsakteure die KI nach wie vor nicht intensiv für ihre ➡ Weiterlesen

Report: Gemini wird von staatlichen Hackergruppen missbraucht 

Die Google Threat Intelligence Group (GTIG) zeigt in einem Bericht, dass besonders iranische, chinesische, nordkoreanische und russische Hackergruppen auf die ➡ Weiterlesen

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen

Lexmark-Geräte mit fünf gefährlichen Schwachstellen

Anbieter Lexmark meldet eine kritische und vier hochgefährliche Schwachstellen für seine Geräte. Bei allen lässt sich Remote-Code ausführen, bei der ➡ Weiterlesen

Cyberspionage: Europäische Behörden im Visier – auch Deutschland

Security-Experten haben eine Cyberspionage gegen europäische Behörden entdeckt. Hinter den Angriffen stecken möglicherweise russische Gruppen die auch Behörden in Deutschland ➡ Weiterlesen