Hacker-Gruppe aus dem Iran mit neuen Angriffsmethoden

Hacker-Gruppe aus dem Iran mit neuen Angriffsmethoden

Beitrag teilen

Sicherheitsforscher sind einer neuen Masche auf die Schliche gekommen, die mit der Phosphorus-APT-Gruppe zusammenhängt. Diese Hacker-Gruppe verfügt über ein breites Spektrum an Fähigkeiten, von Ransomware bis zu gezieltem Spear-Phishing gegen hochrangige Personen.

Check Point Research (CPR) berichtet, dass sie einer neuen Hacker-Kampagne auf der Spur sind. Dieses Activity Cluster wurde Educated Manticore benannt, nach dem Mantikor-Wesen aus der persischen Mythologie, womit die Sicherheitsforscher schon dem Namen nach klarstellen wollen, welche Nation sie hinter der Kampagne vermuten.

Staatliche Hacker-Gruppen aus dem Iran

Sergey Shykevich, Threat Group Manager bei Check Point Software Technologies, kommentiert: „In unserer Studie beleuchten wir die andauernde Entwicklung der Fähigkeiten nationalstaatlicher Hacker-Gruppen aus dem Iran. Ähnlich zu gewöhnlichen Cyber-Kriminellen, die ihre Infektions-Ketten an die sich verändernden IT-Umgebungen anpassen, nutzen nationalstaatliche Hacker nun auch ISO-Dateien, um neue Maßnahmen gegen die bislang gern genommen, verseuchten Office-Dateien zu umgehen. Bei diesem Akteur wurden jedoch auch die Tools verbessert, was Irans dauernde Investition in die Erweiterung seiner staatlichen IT-Fähigkeiten andeutet.“

Phosphorus ist eine berüchtigte APT-Gruppe (Advanced Persistent Threat), die aus dem Iran heraus vor allem in und gegen Nord-Amerika sowie den arabischen Raum vorgeht. Die neue Gruppe, die mit Phosphorus verbunden zu sein scheint, nutzt selten gesehene Methoden, darunter .NET-Binär-Dateien, die im gemischten Modus mit Assembler-Code erstellt wurden. Die neue Kampagne besteht hauptsächlich aus Phishing gegen Iraker und Israelis, wobei eine ISO-Image-Datei zum Einsatz kommt, da in letzter Zeit viele Schutzmaßnahmen gegen verseuchte Office-Dateien, wie vermeintliche Word- oder Excel-Dokumente, von Unternehmen und Behörden eingerichtet wurden. Innerhalb der ISO-Datei waren die Dokumente auf Arabisch und Hebräisch gehalten worden.

Beginn einer Infektionskette

Die Sicherheitsforscher von Check Point vermuten, dass diese Methode nur als Beginn einer Infektionskette fungieren soll, um ein Einfallstor für Malware oder Ransomware zu öffnen, denn: Die Variante in den ISO-Dateien ist das Update einer älteren Malware, und beide hängen vielleicht mit Ransomware-Operationen von Phosphorus zusammen. Aus diesem Grund raten die Experten allen IT-Entscheidern, regelmäßig die Patches und Updates ihrer Sicherheitsprodukte und Anwendungen einzuspielen, die Mitarbeiter (auch die Führungsebene) in der IT-Sicherheit grundlegend gegen Bedrohungen zu schulen und einen konsolidierten Ansatz bei der Anschaffung von IT-Sicherheitslösungen zu bevorzugen, statt einen Wildwuchs aus verschiedenen Einzellösungen zu kaufen, die schlecht zusammenarbeiten und somit Lücken in der Verteidigung lassen.

Automatisierte Bedrohungserkennung und -abwehr sind unumgänglich geworden, sowie eine automatisierte E-Mail-Überwachung (vor allem der Anhänge) und E-Mail-Abwehr. Dies gilt ebenso für Dateien und ihre Aktivitäten auf den Rechnern im Netzwerk. Die Bindung an eine Threat-Intelligence-Cloud hilft ebenfalls enorm, da sie in Echtzeit an die Sicherheitslösung, die zentral gesteuert wird, Bedrohungsdaten und Reaktionsdaten aus aller Welt liefert.

Mehr bei Checkpoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

NIS2 tritt bald in Kraft – 5 Tipps um sich Vorzubereiten

Im Oktober soll die EU-Richtlinie NIS2 in Deutschland in Kraft treten. Sie verpflichtet viele Unternehmen zu höheren Cybersicherheitsvorkehrungen. Deshalb ist ➡ Weiterlesen

Weltweite Gefahr: Schwachstellen bei Photovoltaikplattform

Wie die Experten der Bitdefender Labs festgestellt haben, sind Stromausfälle möglich durch Angriffe auf Photovoltaik-Wechselrichter und -Management-Plattformen. Eine Schwachstelle wurde erst im ➡ Weiterlesen

SSTI Angriffe nehmen deutlich zu

SSTI stellt eine kritische Bedrohung für Web-Anwendungen dar. Angreifer können damit beliebigen Code ausführen und ganze Systeme übernehmen Ziel der ➡ Weiterlesen

Ransomware: Größere Unternehmen sind gefährdeter

Unternehmen in den USA erlebten die meisten Ransomware Vorfälle laut einer Studie, die Ransomware Trends untersuchte. Organisationen mit mehr als ➡ Weiterlesen

Malware-as-a-Service am gefährlichsten

Malware- und Ransomware-as-a-Service waren im ersten Halbjahr 2024 die häufigsten Cyberbedrohungen. Auch Phishing ist weiterhin eine große Gefahr. Über die ➡ Weiterlesen

Wer nicht zahlt: Ransomware-Gruppen machen mehr Druck

Ein neuer Report zeigt, wie die Ransomware-Gruppen Informationen zu halblegalen Aktivitäten aus gestohlenen Daten nutzen, um die Opfer zur Zahlung ➡ Weiterlesen

Index meistverbreiteter Malware im Juli 2024

Der aktuelle Threat Index zeigt, dass RansomHub weiterhin die aktivste Ransomware-Gruppe ist. Gleichzeitig haben die Forscher eine Remcos-Windows-Malware-Kampagne identifiziert, die ➡ Weiterlesen

Finanzbranche: Studie untersucht IT-Sicherheit

Gerade in der Finanzbranche ist Sicherheit so wichtig. Mit zunehmender Digitalisierung ist allerdings auch die IT-Sicherheit zunehmend gefährdet. Jeden Tag ➡ Weiterlesen