Hacker-Gruppe aus dem Iran mit neuen Angriffsmethoden

Hacker-Gruppe aus dem Iran mit neuen Angriffsmethoden

Beitrag teilen

Sicherheitsforscher sind einer neuen Masche auf die Schliche gekommen, die mit der Phosphorus-APT-Gruppe zusammenhängt. Diese Hacker-Gruppe verfügt über ein breites Spektrum an Fähigkeiten, von Ransomware bis zu gezieltem Spear-Phishing gegen hochrangige Personen.

Check Point Research (CPR) berichtet, dass sie einer neuen Hacker-Kampagne auf der Spur sind. Dieses Activity Cluster wurde Educated Manticore benannt, nach dem Mantikor-Wesen aus der persischen Mythologie, womit die Sicherheitsforscher schon dem Namen nach klarstellen wollen, welche Nation sie hinter der Kampagne vermuten.

Staatliche Hacker-Gruppen aus dem Iran

Sergey Shykevich, Threat Group Manager bei Check Point Software Technologies, kommentiert: „In unserer Studie beleuchten wir die andauernde Entwicklung der Fähigkeiten nationalstaatlicher Hacker-Gruppen aus dem Iran. Ähnlich zu gewöhnlichen Cyber-Kriminellen, die ihre Infektions-Ketten an die sich verändernden IT-Umgebungen anpassen, nutzen nationalstaatliche Hacker nun auch ISO-Dateien, um neue Maßnahmen gegen die bislang gern genommen, verseuchten Office-Dateien zu umgehen. Bei diesem Akteur wurden jedoch auch die Tools verbessert, was Irans dauernde Investition in die Erweiterung seiner staatlichen IT-Fähigkeiten andeutet.“

Phosphorus ist eine berüchtigte APT-Gruppe (Advanced Persistent Threat), die aus dem Iran heraus vor allem in und gegen Nord-Amerika sowie den arabischen Raum vorgeht. Die neue Gruppe, die mit Phosphorus verbunden zu sein scheint, nutzt selten gesehene Methoden, darunter .NET-Binär-Dateien, die im gemischten Modus mit Assembler-Code erstellt wurden. Die neue Kampagne besteht hauptsächlich aus Phishing gegen Iraker und Israelis, wobei eine ISO-Image-Datei zum Einsatz kommt, da in letzter Zeit viele Schutzmaßnahmen gegen verseuchte Office-Dateien, wie vermeintliche Word- oder Excel-Dokumente, von Unternehmen und Behörden eingerichtet wurden. Innerhalb der ISO-Datei waren die Dokumente auf Arabisch und Hebräisch gehalten worden.

Beginn einer Infektionskette

Die Sicherheitsforscher von Check Point vermuten, dass diese Methode nur als Beginn einer Infektionskette fungieren soll, um ein Einfallstor für Malware oder Ransomware zu öffnen, denn: Die Variante in den ISO-Dateien ist das Update einer älteren Malware, und beide hängen vielleicht mit Ransomware-Operationen von Phosphorus zusammen. Aus diesem Grund raten die Experten allen IT-Entscheidern, regelmäßig die Patches und Updates ihrer Sicherheitsprodukte und Anwendungen einzuspielen, die Mitarbeiter (auch die Führungsebene) in der IT-Sicherheit grundlegend gegen Bedrohungen zu schulen und einen konsolidierten Ansatz bei der Anschaffung von IT-Sicherheitslösungen zu bevorzugen, statt einen Wildwuchs aus verschiedenen Einzellösungen zu kaufen, die schlecht zusammenarbeiten und somit Lücken in der Verteidigung lassen.

Automatisierte Bedrohungserkennung und -abwehr sind unumgänglich geworden, sowie eine automatisierte E-Mail-Überwachung (vor allem der Anhänge) und E-Mail-Abwehr. Dies gilt ebenso für Dateien und ihre Aktivitäten auf den Rechnern im Netzwerk. Die Bindung an eine Threat-Intelligence-Cloud hilft ebenfalls enorm, da sie in Echtzeit an die Sicherheitslösung, die zentral gesteuert wird, Bedrohungsdaten und Reaktionsdaten aus aller Welt liefert.

Mehr bei Checkpoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Digitale Identitäten: Fünf Herausforderungen 2024

Schon im vergangenen Jahr sorgten generative KI und die weltweite IT-Sicherheitslage für Schlagzeilen. Beides hat Auswirkungen auf digitale Identitäten und ➡ Weiterlesen

Die gefährlichste Malware im November: Formbook Platz 1

Die häufigste Malware im November 2023 ist der Infostealer Formbook und die am häufigsten angegriffene Branche ist ISP/MSP. Command Injection ➡ Weiterlesen

Russische APT-Gruppe attackierte Microsoft 

Microsoft wurde nach eigenen Angaben bereits am 12. Januar 2024 von Midnight Blizzard angegriffen. Die von Russland gesponserten Akteure hatten ➡ Weiterlesen

KI-basierte Cybersecurity noch ganz am Anfang

Cybersecurity-Verantwortliche sehen zwar das große Potential, das in KI-basierten Securitylösungen steckt, aber eine breite Umsetzung in den Unternehmen ist noch ➡ Weiterlesen

IT-Fachkräfte: 149.000 Stellen in Deutschland nicht besetzt

Laut Bitkom-Umfrage bleiben Stellen für IT-Fachkräfte im Durchschnitt über sieben Monate unbesetzt. 77 % der Befragten erwarten, dass sich die ➡ Weiterlesen

Künstliche Intelligenz: Die wichtigsten Trends 2024

Die Weiterentwicklungen im Bereich Künstlicher Intelligenz bergen für Unternehmen sowohl Risiken für die Cybersicherheit als auch Chancen. Vor allem in ➡ Weiterlesen

Prognosen zur Sicherheit von cyber-physischen Systemen 2024

Die großen geopolitischen Krisen des vergangenen Jahres, wie der anhaltende Krieg Russlands gegen die Ukraine und der Nahost-Konflikt, haben sich ➡ Weiterlesen

CISOs im Jahr 2024

Was denken CISOs, was in 2024 alles passieren wird? Einer ist Sergej Epp, Chief Information Security Officer (CISO) für Zentraleuropa ➡ Weiterlesen