EastWind-Kampagne: China-Hacker vs. russische Regierung

B2B Cyber Security ShortNews

Beitrag teilen

Es ist eine etwas überraschendes Ereignis: Kaspersky hat die chinesische Hacker-Gruppe ATP31 entdeckt, die neue CloudSorcerer-Angriffe auf Regierungsorganisationen in Russland durchführt. ATP31 soll allerdings von der chinesischen Regierung gesteuert sein.

Ende Juli 2024 identifizierten Kaspersky Experte eine aktive Serie gezielter Cyberangriffe auf Dutzende Computer russischer Regierungsorganisationen und IT-Unternehmen. Bei diesen Angriffen infizierten Angreifer Geräte mithilfe von Phishing-E-Mails mit Anhängen, die schädliche Verknüpfungsdateien enthielten. Beim Klicken auf die Verknüpfungen wurde Schadsoftware installiert, die anschließend Befehle über den Dropbox-Cloudspeicher erhielt. Mit dieser Software haben die Angreifer weitere Trojaner auf infizierte Computer heruntergeladen, insbesondere Tools der chinesischen Cybergruppe APT31 sowie eine aktualisierte CloudSorcerer-Hintertür. Die Kaspersky-Experten haben diese Kampagne EastWind genannt.

Anzeige

APT31? Die gehören eigentlich zu China

Laut Experten von Mandiant gehört ATP31 zu China und wird auch vermutlich von staatlichen Organen gelenkt. Die Gruppe zielt auf Regierungen, internationale Finanzorganisationen, Luft- und Raumfahrt- und Verteidigungsorganisationen sowie Hightech, Bau und Ingenieurwesen, Telekommunikation, Medien und Versicherungen.

Mandiant schreibt: APT31 ist ein Cyber-Spionage-Akteur mit China-Verbindung, dessen Schwerpunkt auf der Beschaffung von Informationen liegt, die der chinesischen Regierung und staatlichen Unternehmen politische, wirtschaftliche und militärische Vorteile verschaffen können.

EastWind nutzt Trojaner per Dropbox

Der von Angreifern aus dem Cloud-Speicher Dropbox heruntergeladene Trojaner wird seit mindestens 2021 von der APT31-Gruppe verwendet. Kaspersky nennt ihn GrewApacha. Die CloudSorcerer-Backdoor, die Experten bereits Anfang Juli 2024 beschrieben haben, wurden seither aktualisiert.
Die Angriffe nutzen ein bisher unbekanntes Implantat mit der Funktionalität einer klassischen Hintertür. Es wird über die CloudSorcerer-Hintertür geladen, verfügt über einen umfangreichen Befehlssatz und unterstützt drei verschiedene Protokolle für die Kommunikation mit der Kommandozentrale. Die Kasperky-Experten beschreiben in einem Blog-Beitrag den kompletten Angriffsablauf und die dabei verwendeten Komponenten.

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

BSI: Zero-Day Angriffe auf Ivanti Connect Secure

Das BSI warnt: Es gibt kritische Schwachstellen Ivanti-Produkten Connect Secure (ICS), Policy Secure und ZTA Gateway. Dazu hat der Hersteller ➡ Weiterlesen

Vorhersagen zu Cybersicherheitsbedrohungen aus dem Darknet

Von hochentwickelten Desinformationsdiensten bis hin zu gestohlenen digitalen Identitäten, Schwachstellen im Smarthome-Bereich sowie KI-gesteuertes Social Engineering – das sind die ➡ Weiterlesen

Bedeutung der Datenverschlüsselung durch NIS2, Dora & Co

Datenverschlüsselung ist gerade besonders aktuell unter anderem durch die Geschäftsführerhaftung, NIS2, DORA und das Geschäftsgeheimnis-Schutzgesetz (GeschGehG). Das Whitepaper „Die Bedeutung ➡ Weiterlesen

Darknet: 15.000 Konfigurationsdateien für FortiGate-Firewalls

In einem Darknet-Forum hat die Hackergruppe "Belsen Group" über 15.000 einzigartige Konfigurationsdateien von FortiGate-Firewalls veröffentlicht. Obwohl die Daten relativ alt ➡ Weiterlesen

Gefahr: Infektion via Outlook ohne Dateiöffnung

Auch das BSI warnt: Durch eine kritische Schwachstelle ist es möglich, dass eine via Outlook empfangene E-Mail mit einem gefährlichen ➡ Weiterlesen

Cyberbedrohungen: Schädliche Dateien um 14 Prozent gestiegen

Auf 2024 zurückblickend, zeigt sich Folgendes: Vor allem Windows-Rechner sind das Ziel von Cyberbedrohungen. Angriffe durch Trojaner stiegen um 33 ➡ Weiterlesen

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen