Fail: APT-Gruppe löscht verräterische Daten nur rudimentär

B2B Cyber Security ShortNews

Beitrag teilen

Mitglieder der Gruppe APT37 haben ihre gesammelten Angriffsdaten nur rudimentär gelöscht. Experten stellten die Daten wieder her und analysierten sie ausführlich. Sie fanden Zeitachsen zu Aktivitäten, bösartigen Code und viele brauchbare Hinweise auf interne Abläufe.

Selbst Cyberkriminelle speichern Daten bei GitHub und vergessen ihre Daten lückenlos zu löschen. Das Zscaler ThreatLabz-Team konnte die Tools, Techniken und Prozesse (TTPs) von APT37 (auch bekannt als ScarCruft oder Temp.Reaper), einem aus Nordkorea stammenden Bedrohungsakteur von Advanced Persistent Threats, genauer unter die Lupe nehmen.

Daten von APT37 zeigen das Vorgehen

Bei ihren Recherchen sind die Sicherheitsforscher auf ein GitHub-Repository gestoßen, dass sie einem Mitglied der Gruppe zuordnen. Obwohl der Bedrohungsakteur die Dateien routinemäßig aus dem Repository löscht, waren die Threat-Analysten in der Lage, alle gelöschten Dateien abzurufen und zu untersuchen. Aufgrund eines Informationslecks konnten sie auf eine Fülle von Informationen über die von dieser APT-Gruppe verwendeten bösartigen Dateien sowie die Zeitachse ihrer Aktivitäten zugreifen, die bis in den Oktober 2020 zurückreichen. Die große Anzahl von Samples, die über dieses Repository des Angreifers identifiziert werden konnten, sind nicht in OSINT-Quellen wie VirusTotal zu finden und werfen dadurch ein neues Licht auf die Tätigkeiten und Fähigkeiten der Gruppe.

Hauptziel ist Cyberspionage

Das Hauptziel von APT37 ist die Cyberspionage, die durch die Datenexfiltration ausgewählter Dateiformate vorgenommen wird. Die Gruppe verbreitet die „Chinotto-Backdoor“ auf PowerShell-Basis über verschiedene Angriffsvektoren. Zu den missbrauchten Dateiformaten gehören Windows-Hilfedateien (CHM), HTA, HWP (Hancom Office), XLL (MS Excel Add-in) und makrobasierte MS Office-Dateien. Darüber hinaus ist die Gruppe auch in Phishing-Angriffe zum Erbeuten von Zugangsdaten involviert.

Der Fokus dieser Gruppe richtet sich vor allem auf die Infektion von Geräten, die Personen in Südkorea gehören, um dort Spionage zu betreiben und Daten zu erbeuten. Interessanterweise setzt sie dafür auch auf ein MS Office Excel-Add-In, was erst im März 2023 beobachtet wurde. Dies zeigt auf, dass sich die Gruppe stetig weiterentwickelt und neue Angriffsmuster und -Techniken hinzufügt. Dabei wird jeweils ein aktueller Aufhänger aus der Geopolitik, aktuellen Events, Bildung, Finanz- oder dem Versicherungswesen gewählt, um die Malware zu verbreiten.

Mehr bei Zscaler.com

 


Über Zscaler

Zscaler beschleunigt die digitale Transformation, damit Kunden agiler, effizienter, widerstandsfähiger und sicherer werden können. Zscaler Zero Trust Exchange schützt Tausende von Kunden vor Cyberangriffen und Datenverlusten, indem es Nutzer, Geräte und Anwendungen an jedem Standort sicher verbindet. Die SSE-basierte Zero Trust Exchange ist die weltweit größte Inline-Cloud-Sicherheitsplattform, die über mehr als 150 Rechenzentren auf der ganzen Welt verteilt ist.


 

Passende Artikel zum Thema

Schutzlösungen für MacOS Sonoma im Test

Der große Test von Schutz-Software für Unternehmen und Einzelplatz-PCs für MacOS fand im AV-TEST-Labor erstmals unter der MacOS Version Sonoma ➡ Weiterlesen

BSI: Neue Studie zu Hardware-Trojaner 

Das BSI hat eine Studie veröffentlicht zu Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen. Dabei geht es um versteckte Chips auf ➡ Weiterlesen

Intel schließt kritische und hochgefährliche Sicherheitslücken

Fast etwas unauffällig hat Intel viele Sicherheitslücken in seinen Produkten geschlossen. Mit dabei sind eine kritische Lücke mit dem CVSS-Wert ➡ Weiterlesen

BSI und Zero Day Initiative warnt vor kritischer Azure Schwachstelle  

Die Zero Day Initiative (ZDI) sammelt und verifiziert gemeldete Schwachstellen. Nun gibt es wohl eine kritische Schwachstelle in Azure mit dem ➡ Weiterlesen

Hoffnung für Unternehmen: FBI hat 7.000 LockBit Ransomware-Keys

Bereits im Februar und im Mai startete FBI, Europol und viele andere Behörden die Operationen gegen die Ransomware-Erpresser LockBit. Dabei ➡ Weiterlesen

Google-Leak: Datenbank belegt Datenpannen

Einem Journalist wurde eine Google-Datenbank zugespielt die tausende interne Datenpannen von 2013 bis 2018 enthalten und intern bei Google gelöst ➡ Weiterlesen

Keylogger stiehlt bei Exchange Servern Login-Daten

Das Incident Response Team des PT ESC hat einen neuartigen Keylogger in der Hauptseite eines Microsoft Exchange Servers entdeckt. Jeder ➡ Weiterlesen

Fluent Bit: Angriff auf Cloud-Dienste über Protokollierungs-Endpunkte

Tenable Research hat in Fluent Bit, einer Kernkomponente der Überwachungsinfrastruktur vieler Cloud-Dienste, eine kritische Sicherheitslücke namens „Linguistic Lumberjack“ entdeckt, die ➡ Weiterlesen