Hacker- und Spionageangriffe auf südasiatische Regierungen

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

ESET Forscher haben zwei Varianten des yty Frameworks analysiert: Gedit und DarkMusical. Ihre Spionageangriffe zielen auf Regierungen und Militärs in Südasien. Hauptaufgabe des yty-Malware-Frameworks besteht darin, Daten zu sammeln und zu exfiltrieren.

Die Hackergruppe Donot Team (auch bekannt als APT-C-35 oder SectorE02) hat seit mindestens zwei Jahren Spionageangriffe auf Botschaften, Regierungs- und Militäreinrichtungen sowie Außenministerien durchgeführt. Laut den Analysen der ESET Forscher konzentrierten sich die Kampagnen der Gruppe auf Ziele in Bangladesch, Sri Lanka, Pakistan und Nepal. Hierbei wurden auch deren diplomatische Einrichtungen in Europa, dem Nahen Osten und Amerika attackiert.

Anzeige

Bangladesch, Sri Lanka, Pakistan und Nepal im Visier

„Wir haben die Aktivitäten des Donot Teams sehr genau untersucht und sind dabei mehreren Kampagnen auf die Spur gekommen“, sagt Facundo Muñoz, ESET Forscher und Leiter der Untersuchungen. „Bei ihren Angriffen setzen die Hacker auf Windows-Malware, die vom yty-Malware-Framework der Gruppe stammt.“

Der Hauptzweck des yty-Malware-Frameworks besteht darin, Daten zu sammeln und zu exfiltrieren. Das Framework besteht aus einer Kette von Downloadern, die letztlich eine Backdoor zu installieren herunterladen, über die weitere Komponenten der Donot-Team-Werkzeuge heruntergeladen und ausgeführt werden. Dazu gehören Dateisammler, Screen-Capturer, Keylogger, Reverse Shells und mehr.

Anzeige

Spearphishing-Angriffe auf Einrichtungen

Ein genauer Blick auf die Analysedaten hat gezeigt, dass das Donot Team alle zwei bis vier Monate dieselben Einrichtungen mit Spearphishing-E-Mails angegriffen hat. Die Nachrichten enthalten bösartige Microsoft Office-Dokumente im Anhang, die die Angreifer zur Verbreitung ihrer Malware nutzen. Interessanterweise wiesen die E-Mails, die sich die ESET Forscher genauer anschauen konnten, keine Anzeichen von Spoofing auf. „Einige Nachrichten wurden von denselben Organisationen verschickt, die auch attackiert wurden. Es ist möglich, dass die Angreifer die Postfächer von einigen ihrer Opfer in früheren Kampagnen kompromittiert haben oder den von diesen Organisationen verwendeten Mail-Server“, sagt Muñoz.

In ihrem aktuellen Blog-Artikel analysieren die ESET Forscher zwei Varianten des yty-Malware-Frameworks: Gedit und DarkMusical. Die Experten des europäischen IT-Sicherheitsherstellers haben sich dazu entschlossen, eine Variante DarkMusical zu nennen, weil die Angreifer für ihre Daten und Ordner Namen westlicher Berühmtheiten oder Figuren aus dem Film „High School Musical“ wählten. Dieses Schadprogramm kam in Kampagnen für Spionageangriffe zum Einsatz, die mit auf militärische Einrichtungen in Bangladesch und Nepal abzielten.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Schwere Cyberattacke auf Webseiten der ukrainischen Regierung

Am Freitag den 14. Januar 2022 gab es eine Cyberattacke auf mehrere Webseiten der ukrainischen Regierung und Botschaft. Ein Kommentar ➡ Weiterlesen

Attacke auf deutsche Militär- und Regierungseinrichtungen

Aktuelle Cyber-Spionage-Kampagne: Transparent Tribe zielt auf Militär- und Regierungseinrichtungen weltweit ab. Deutschland ist dabei unter den am stärksten betroffenen Ländern.  Seit ➡ Weiterlesen

FBI, CISA und NSA warnen vor Hacker-Angriffen auf MSPs

Mitglieder der Geheimdienstallianz Five Eyes (FVEY) haben Managed Service Provider (MSP) und ihre Kunden davor gewarnt, dass sie zunehmend Angriffen ➡ Weiterlesen

Ransomware-Angriffe: Costa Rica ruft nationalen Notstand aus

Der costaricanische Präsident Rodrigo Chaves hat am Wochenende den nationalen Notstand in Costa Rica ausgerufen, nachdem die Ransomware-Gruppe Conti mehrere ➡ Weiterlesen

Traktoren-Fendt durch Hacker-Angriff lahmgelegt

Wie die Allgäuer Zeitung berichtet, stockt bereits seit letzter Woche beim Traktoren-Bauer Fendt die Produktion wegen eines massiven Hacker-Angriffs. Teilweise ➡ Weiterlesen

Cybercrime-Trainees bereiten Attacke vor?

Effektive Arbeitsteilung oder Anzucht von Cybercrime-Trainees? Nach einer eher stümperhafter Netzwerkinfiltration übernehmen abschließend die Profis mit Lockbit Ransomware. Den Sophos Forscher ist ➡ Weiterlesen

Mutmaßliche LAPSUS$-Hacker vor Gericht – Angriffe gehen weiter

LAPSUS$-Bande geschnappt? Die Angriffe gehen dennoch weiter. Beschäftigte in Unternehmen sollten über Attacken mit Social-Engineering-Techniken besser aufgeklärt werden und zusammen ➡ Weiterlesen

Europol sprengt eines der größten Hackerforen der Welt  

Als Ergebnis der Operation TOURNIQUET schließt Europol den illegale Marktplatz „RaidForums“, eines der größten Hackerforen der Welt und beschlagnahmt seine ➡ Weiterlesen