Fail: APT-Gruppe löscht verräterische Daten nur rudimentär

B2B Cyber Security ShortNews

Beitrag teilen

Mitglieder der Gruppe APT37 haben ihre gesammelten Angriffsdaten nur rudimentär gelöscht. Experten stellten die Daten wieder her und analysierten sie ausführlich. Sie fanden Zeitachsen zu Aktivitäten, bösartigen Code und viele brauchbare Hinweise auf interne Abläufe.

Selbst Cyberkriminelle speichern Daten bei GitHub und vergessen ihre Daten lückenlos zu löschen. Das Zscaler ThreatLabz-Team konnte die Tools, Techniken und Prozesse (TTPs) von APT37 (auch bekannt als ScarCruft oder Temp.Reaper), einem aus Nordkorea stammenden Bedrohungsakteur von Advanced Persistent Threats, genauer unter die Lupe nehmen.

Daten von APT37 zeigen das Vorgehen

Bei ihren Recherchen sind die Sicherheitsforscher auf ein GitHub-Repository gestoßen, dass sie einem Mitglied der Gruppe zuordnen. Obwohl der Bedrohungsakteur die Dateien routinemäßig aus dem Repository löscht, waren die Threat-Analysten in der Lage, alle gelöschten Dateien abzurufen und zu untersuchen. Aufgrund eines Informationslecks konnten sie auf eine Fülle von Informationen über die von dieser APT-Gruppe verwendeten bösartigen Dateien sowie die Zeitachse ihrer Aktivitäten zugreifen, die bis in den Oktober 2020 zurückreichen. Die große Anzahl von Samples, die über dieses Repository des Angreifers identifiziert werden konnten, sind nicht in OSINT-Quellen wie VirusTotal zu finden und werfen dadurch ein neues Licht auf die Tätigkeiten und Fähigkeiten der Gruppe.

Hauptziel ist Cyberspionage

Das Hauptziel von APT37 ist die Cyberspionage, die durch die Datenexfiltration ausgewählter Dateiformate vorgenommen wird. Die Gruppe verbreitet die „Chinotto-Backdoor“ auf PowerShell-Basis über verschiedene Angriffsvektoren. Zu den missbrauchten Dateiformaten gehören Windows-Hilfedateien (CHM), HTA, HWP (Hancom Office), XLL (MS Excel Add-in) und makrobasierte MS Office-Dateien. Darüber hinaus ist die Gruppe auch in Phishing-Angriffe zum Erbeuten von Zugangsdaten involviert.

Der Fokus dieser Gruppe richtet sich vor allem auf die Infektion von Geräten, die Personen in Südkorea gehören, um dort Spionage zu betreiben und Daten zu erbeuten. Interessanterweise setzt sie dafür auch auf ein MS Office Excel-Add-In, was erst im März 2023 beobachtet wurde. Dies zeigt auf, dass sich die Gruppe stetig weiterentwickelt und neue Angriffsmuster und -Techniken hinzufügt. Dabei wird jeweils ein aktueller Aufhänger aus der Geopolitik, aktuellen Events, Bildung, Finanz- oder dem Versicherungswesen gewählt, um die Malware zu verbreiten.

Mehr bei Zscaler.com

 


Über Zscaler

Zscaler beschleunigt die digitale Transformation, damit Kunden agiler, effizienter, widerstandsfähiger und sicherer werden können. Zscaler Zero Trust Exchange schützt Tausende von Kunden vor Cyberangriffen und Datenverlusten, indem es Nutzer, Geräte und Anwendungen an jedem Standort sicher verbindet. Die SSE-basierte Zero Trust Exchange ist die weltweit größte Inline-Cloud-Sicherheitsplattform, die über mehr als 150 Rechenzentren auf der ganzen Welt verteilt ist.


 

Passende Artikel zum Thema

Bösartiges Site Hopping

In letzter Zeit wird vermehrt eine neue Technik zur Umgehung von Sicherheitsscannern eingesetzt, nämlich das „Site Hopping“. Diese Technik ist ➡ Weiterlesen

Neue Ransomware-Gruppe Money Message entdeckt

Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar ➡ Weiterlesen

Wardriving mit künstlicher Intelligenz

Mittlerweile werden KI-Tools millionenfach eingesetzt, um Themen zu recherchieren, Briefe zu schreiben und Bilder zu erstellen. Doch auch im Bereich ➡ Weiterlesen

LockBit veröffentlich 43 GByte gestohlene Boeing-Daten

Bereits im Oktober vermeldete die APT-Gruppe LockBit, dass man bei Boeing in die Systeme eingedrungen sei und viele Daten gestohlen ➡ Weiterlesen

Veeam ONE: Hotfix für kritische Schwachstellen steht bereit 

Veeam informiert seine Nutzer über zwei kritische und zwei mittlere Schwachstellen in Veeam One für die bereits Patches bereitstehen. Die ➡ Weiterlesen

Cyberattacke auf Deutsche Energie-Agentur – dena

Die Deutsche Energie-Agentur vermeldet nach eigenen Angaben eine Cyberattacke am Wochenende vom 11. auf den 12. November. Die Server sind ➡ Weiterlesen

LockBit: Gestohlene Shimano-Daten wohl veröffentlicht

Der japanische Hersteller für Fahrradteile Shimano wurde Ziel laut LockBit Opfer eines Ransomware-Angriffs und zeigte sich offenbar nicht bereit, Lösegeld ➡ Weiterlesen

IoT-Geräte: Bedrohung aus dem Darknet

IoT-Geräte sind ein beliebtes Angriffsziel für Cyberkriminelle. Im Darknet werden diese Angriffe als Dienstleistung angeboten. Insbesondere Services für DDoS-Angriffe die ➡ Weiterlesen