Hackergruppen: Russland, Nordkorea, Iran und China voll aktiv

Hackergruppen: Russland, Nordkorea, Iran und China voll aktiv

Beitrag teilen

ESET gibt mit seinem neuen APT – Advanced Persistent Threat – Activity Report einen regelmäßigen Überblick über die Tätigkeiten von Hackergruppen und beleuchtet ihr Vorgehen im Detail. Gruppen aus Russland, Nordkorea, Iran und China sind hoch aktiv.

Mit Russland verbundene Hacker wie Sandworm, Gamaredon, Turla oder InvisiMole haben weiterhin die Ukraine als Primärziel. Luftfahrt- und Rüstungsunternehmen sind beliebt bei Akteuren, die Verbindung nach Nordkorea haben. Iranische Gruppen fokussieren ihre Aktivitäten auf Israel. Auch ein deutsches Lebensmittelunternehmen war Ziel einer mit China verbundenen APT-Gruppe. Insgesamt konnten die ESET Forscher keinen Rückgang der Tätigkeiten bei den verschiedenen Hackergruppen feststellen. Der aktuelle Bericht umfasst den Zeitraum von Mai bis August 2022.

Anzeige

Industrie, Geheimnisse, Erpressung

„Die Luftfahrt- und Rüstungsindustrie sind nach wie vor von großem Interesse für mit Nordkorea verbündete Gruppen. Beispielsweise hatte es Lazarus auf einen Mitarbeiter eines Luft- und Raumfahrtunternehmens in den Niederlanden abgesehen. Unseren Recherchen zufolge hat die Gruppe eine Schwachstelle in einem legitimen Dell-Treiber ausgenutzt, um in das Unternehmen einzudringen. Wir glauben, dass dies der erste jemals aufgezeichnete Missbrauch dieser Schwachstelle in freier Wildbahn ist“, erklärt Jan-Ian Boutin, Direktor von ESET Threat Research. „Wir haben zudem festgestellt, dass mehrere mit Russland verbündete Gruppen den Messengerdienst Telegram missbraucht haben, um auf Command-and-Control Server zuzugreifen oder um sensible Informationen durchsickern zu lassen. APT-Akteure aus anderen Regionen versuchten ebenfalls, Zugang zu ukrainischen Organisationen zu bekommen, sowohl für Cyberspionage als auch für den Diebstahl von geistigem Eigentum“, sagt Boutin weiter.

Kryptowährungen: weiteres Tätigkeitsfeld für APT-Gruppen

Finanzinstitutionen und Unternehmen, die mit Kryptowährungen arbeiten, waren das Ziel von Kimsuky aus Nordkorea und zwei Kampagnen der Lazarus Gruppe. Eine dieser Aktionen, die von den ESET Forschern als Operation In(ter)ception bezeichnet wird, wich von ihren üblichen Zielen in der Luftfahrt- sowie Rüstungsindustrie ab. Dabei wurde eine einzelne Person aus Argentinien mit einer als Jobangebot bei Coinbase getarnten Malware angegriffen. ESET entdeckte außerdem, dass die Gruppe Konni eine Technik verwendet, die in der Vergangenheit von Lazarus eingesetzt wurde – eine trojanisierte Version des Sumatra PDF Viewers.

China-Gruppen nutzen oft Backdoors

In China ansässige Gruppen waren weiterhin sehr aktiv. Sie nutzten verschiedene Schwachstellen und bisher nicht gemeldete Backdoors. So identifizierte ESET die Linux-Variante einer Backdoor, die von SparklingGoblin gegen eine Universität in Hongkong eingesetzt wurde. Dieselbe Gruppe nutzte in einem anderen Fall eine Confluence-Schwachstelle, um ein Unternehmen der Lebensmittelindustrie in Deutschland und ein Ingenieurbüro in den USA anzugreifen. ESET Research vermutet außerdem, dass eine ManageEngine ADSelfService Plus-Schwachstelle hinter der Kompromittierung eines US-Rüstungsunternehmens steckt. Dessen Systeme wurden nur zwei Tage nach der Veröffentlichung der Schwachstelle angegriffen. In Japan identifizierte ESET mehrere Kampagnen der Gruppe Mirrorface, von denen eine in direktem Zusammenhang mit den Wahlen zum Oberhaus des Parlaments stand.

Iranische Gruppen haben Israel im Fokus

Die wachsende Zahl von Gruppen, die mit dem Iran in Verbindung stehen, konzentrierten ihre Bemühungen weiterhin hauptsächlich auf verschiedene israelische Branchen. ESET Forscher konnten eine Aktion, die auf ein Dutzend Organisationen abzielte, POLONIUM zuordnen und mehrere bisher nicht dokumentierte Backdoors identifizieren. Unternehmen und Einrichtungen, die in der Diamantenindustrie in Südafrika, Hongkong und Israel tätig sind oder mit ihr in Verbindung stehen, waren das Ziel von Agrius.

Die ESET Experten gehen davon aus, dass es sich dabei um einen Angriff auf die Lieferkette handelt, bei dem eine in Israel ansässige Software missbraucht wird, die in diesem Bereich eingesetzt wird. Bei einer anderen Kampagne in Israel wurden Hinweise auf mögliche Überschneidungen bei der Nutzung von Tools zwischen den Gruppen MuddyWater und APT35 gefunden. ESET Research entdeckte außerdem eine neue Version von Android-Malware in einer von der APT-C-50-Gruppe durchgeführten Kampagne. Sie wurde von einem Nachahmer einer iranischen Website verbreitet und verfügte über begrenzte Spionagefunktionen.

Über den ESET APT Activity Report

Ergänzend zum ESET Threat Report veröffentlicht ESET Research den ESET APT Activity Report, der einen regelmäßigen Überblick über ESETs Erkenntnisse zu den Aktivitäten von Advanced Persistent Threats (APT) geben soll. Die erste Ausgabe umfasst den Zeitraum Mai bis August 2022. Es ist geplant, dass der Report ab sofort flankierend zum ESET Threat Report erscheint.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

SIEM-Strategie für moderne Cybersicherheit

Die Bedrohungslage im Cyberraum spitzt sich weiter zu. Cyberkriminelle agieren zunehmend professionell. Sie bieten Ransomware-Kits im Affiliate-Modell an und verkaufen ➡ Weiterlesen

Schwachstellen erkennen und patchen

Die neue Softwareversion "Vulnerability and Patchmanagement" unterstützt Unternehmen bei der automatischen Erkennung von Schwachstellen und beim automatischen oder manuellen patchen ➡ Weiterlesen

Die pakistanische Hackergruppe APT36 lernt mit ElizaRAT dazu

Die Threat-Intelligence-Abteilung von Check Point hat in einem neuen Bericht die technischen und strategischen Weiterentwicklungen der Malware ElizaRAT analysiert. Das ➡ Weiterlesen

Riskante vernetzte medizinische Geräte

Ein Unternehmen im Bereich Cybersicherheit, veröffentlichte den Bericht „Unveiling the Persistent Risks of Connected Medical Devices“. Aufbauend auf dem Bericht ➡ Weiterlesen

KI-gestützte Angriffe fordern Unternehmen heraus

Ein Anbieter für Cybersicherheit hat die neuesten Ergebnisse einer Umfrage unter IT-Führungskräften veröffentlicht. Die Daten zeigen, dass KI die Erkennung ➡ Weiterlesen

Data Platform für Datenresilienz und End-to-End-Cybersicherheit

Die neue Veeam Data Platform v12.2 erweitert Datenresilienz auf weitere Plattformen und Anwendungen. Das neueste Update von Veeam erweitert die Plattformunterstützung ➡ Weiterlesen

D-A-CH Cyberschutz: Unternehmen fühlen sich gut aufgestellt

Die wachsende Bedrohung durch Cyberangriffe und daraus resultierende mögliche wirtschaftliche Folgen haben nach Zahlen aus der Sophos-Management-Studie die meisten Unternehmen ➡ Weiterlesen

Eingekaufte Sicherheitslücken in der deutschen Industrie

Die deutsche Industrie kauft sich mit der weiterhin zunehmenden Digitalisierung auf Produktions- und Logistikebene immer mehr Sicherheitslücken ein. In den ➡ Weiterlesen