Hackergruppe stahl Regierungsgeheimnisse

Hackergruppe Spionage Hacker APT

Beitrag teilen

Die Hackergruppe XDSpy stahl jahrelang Regierungsgeheimnisse in Europa. für ihre Cyber-Spionage nutzte die zuvor unbemerkt agierende Gruppe oft Spear-Phishing mit COVID-19-Bezug.

ESET-Forscher enttarnten einen Cyber-Spionagering, der bisher unbemerkt agieren konnte. Die APT-Gruppe ist nach Erkenntnissen des europäischen Sicherheitsherstellers bereits seit 2011 aktiv und hat sich auf den Diebstahl sensibler Regierungsdokumente im osteuropäischen Raum und der Balkan-Region spezialisiert. Bei den Zielen handelt sich in erster Linie um Regierungsstellen, darunter Militäreinrichtungen und Außenministerien sowie vereinzelt Unternehmen. Die von ESET als XDSpy bezeichnete Hackerbande ist neun Jahre lang weitgehend unentdeckt geblieben, was selten ist.

Vernachlässigte Sicherheitsupdates laden Angreifer ein

„Die Kampagne um XDSpy ist exemplarisch für den aktuellen Stand der Cybersecurity. Nicht eingespielte Sicherheitsupdates, veraltete Soft- und Hardware, fehlendes Monitoring – all das lädt nicht nur Spione, sondern auch andere Cybergangster ein. Es wäre allerdings ein Trugschluss zu glauben, dass nur osteuropäische Behörden und Institutionen leicht zum Opfer fallen können“, sagt Thomas Uhlemann, Security Specialist bei ESET Deutschland. „Auch im deutschsprachigen Raum gibt es noch viel zu viele IT-Zwischenfälle. Diese wären vermeidbar, wenn einfachste IT-Security-Grundregeln wie Malwareschutz, ständige Aktualisierungen von Hard- und Software, entsprechende Budgets, moderne Zugriffsberechtigungen, Verschlüsselung und Know-how vorhanden gewesen wären.“

Erfolgreiche Angriffe mit Spear-Phishing

Die XDSpy-Betreiber verwendeten lange Zeit Spear-Phishing-E-Mails, um ihre Ziele zu kompromittieren. Die E-Mails weisen dabei Variationen auf: Einige enthalten einen Anhang, während andere einen Link zu einer bösartigen Datei beinhalten. Dabei handelt es sich in der Regel um ZIP- oder RAR-Archive. Wenn das Opfer darauf doppelklickt, lädt die entpackte LNK-Datei „XDDown“ – die Hauptkomponente der Malware – herunter und installiert diese.

XDSpy nutzt Microsoft Schwachstelle aus

Ende Juni 2020 verschärften die Angreifer ihre Attacken, indem sie eine Schwachstelle im Internet Explorer, CVE-2020-0968, ausnutzten. Diese wurde zwar im April 2020 von Microsoft gepatcht, aber offensichtlich das Update nicht überall eingespielt. Anstatt eines Archivs mit einer LNK-Datei lieferte der Command&Control-Server eine RTF-Datei. Sobald diese geöffnet war, lud sie eine HTML-Datei herunter und nutzte die Schwachstelle aus.

CVE-2020-0968 ist Teil einer Reihe ähnlicher Schwachstellen. Eine davon ist beispielsweise in der alten JavaScript-Engine des Internet Explorers zu finden, die in den letzten zwei Jahren offengelegt wurde. Zu der Zeit, als diese Schwachstelle von XDSpy ausgenutzt wurde, waren kein Proof-of-Concept und nur sehr wenige Informationen über diese spezielle Schwachstelle online verfügbar. Vermutlich hatte die Hackergruppe diesen Exploit entweder von einem Broker gekauft oder selbst einen 1-Day-Exploit entwickelt.

Trittbrettfahrer: Mit Covid-19-Themen Opfer in die Falle gelockt

Die Hackergruppe ist in 2020 mindestens zweimal auf den Covid-19-Zug aufgesprungen. „Der letzte Fall wurde vor einigen Wochen entdeckt und zwar im Rahmen ihrer laufenden Spear-Phishing-Kampagnen”, fügt ESET Researcher Matthieu Faou hinzu. „Da wir keine Code-Ähnlichkeiten mit anderen Malware-Familien gefunden und keine Überschneidungen in der Netzwerkinfrastruktur beobachtet haben, gehen wir bei XDSpy von einer bisher nicht dokumentierten Gruppe aus”, so Faou abschließend.

Mehr dazu bei WeLiveSecurity bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Narrative Angriffe: Falsche Fakten, echte Folgen

Die Gefahr ist diffus und schwer greifbar: Während sich Unternehmen zunehmend in der komplexen Landschaft von Cyberangriffen zurechtfinden müssen, erweisen ➡ Weiterlesen

Sichere digitale Identität sichert digitales Vertrauen

Durch eine dezentrale Public Key-Infrastruktur (PKI) bringen Unternehmens unterschiedliche Verfahren zur Anwendung. Eine zentrale Nachverfolgung der Zertifizierungen findet nicht statt. ➡ Weiterlesen

TotalAI-Plattform: Schwachstellenbewertung von KI-Workloads

Die neue Lösung TotalAI ermöglicht eine ganzheitliche Erkennung und Schwachstellenbewertung von KI-Workloads, um Datenlecks, Injektionsprobleme und Modelldiebstahl zu erkennen. Die ➡ Weiterlesen

NIS2-Richtlinie: Umsetzung mit Führungskräften kommunizieren

Ein kostenloses Whitepaper unterstützt CISOs dabei, die Sprache der Führungskräfte zu sprechen, um die Umsetzung der NIS2-Richtlinie im Unternehmen voranzubringen ➡ Weiterlesen

Microsoft 365 Backup Storage optimiert Datensicherheit

Ein weiterer Cybersicherheitsanbieter integriert Microsoft 365 Backup Storage in seine Cloud-Plattform. Damit lassen sich Backups kostengünstig überwachen und verwalten sowie ➡ Weiterlesen

Cyberversicherung: Beratung hilft, versicherungsfähig zu werden

Um eine Cyberversicherung abzuschließen, müssen Unternehmen nachweisen, dass sie entsprechende Sicherheitsvorkehrungen getroffen haben. Für viele ist das eine Herausforderung. Adlon ➡ Weiterlesen

Hacker tarnen Malware als KI-Tools

KI-Tools wie ChatGPT, Bard oder Suno boomen, denn sie bieten so viele Möglichkeiten. Das nutzen Hacker aus und verbreiten gefälschte ➡ Weiterlesen

Cybersecurity Awareness: Aufklärung für mehr Sicherheit

Der Oktober ist seit 2004 der internationale Cybersecurity Awareness Month. Die Initiative informiert über Security im Netz und wie man ➡ Weiterlesen