Hackergruppen: Russland, Nordkorea, Iran und China voll aktiv

Hackergruppen: Russland, Nordkorea, Iran und China voll aktiv
Anzeige

Beitrag teilen

ESET gibt mit seinem neuen APT – Advanced Persistent Threat – Activity Report einen regelmäßigen Überblick über die Tätigkeiten von Hackergruppen und beleuchtet ihr Vorgehen im Detail. Gruppen aus Russland, Nordkorea, Iran und China sind hoch aktiv.

Mit Russland verbundene Hacker wie Sandworm, Gamaredon, Turla oder InvisiMole haben weiterhin die Ukraine als Primärziel. Luftfahrt- und Rüstungsunternehmen sind beliebt bei Akteuren, die Verbindung nach Nordkorea haben. Iranische Gruppen fokussieren ihre Aktivitäten auf Israel. Auch ein deutsches Lebensmittelunternehmen war Ziel einer mit China verbundenen APT-Gruppe. Insgesamt konnten die ESET Forscher keinen Rückgang der Tätigkeiten bei den verschiedenen Hackergruppen feststellen. Der aktuelle Bericht umfasst den Zeitraum von Mai bis August 2022.

Anzeige

Industrie, Geheimnisse, Erpressung

„Die Luftfahrt- und Rüstungsindustrie sind nach wie vor von großem Interesse für mit Nordkorea verbündete Gruppen. Beispielsweise hatte es Lazarus auf einen Mitarbeiter eines Luft- und Raumfahrtunternehmens in den Niederlanden abgesehen. Unseren Recherchen zufolge hat die Gruppe eine Schwachstelle in einem legitimen Dell-Treiber ausgenutzt, um in das Unternehmen einzudringen. Wir glauben, dass dies der erste jemals aufgezeichnete Missbrauch dieser Schwachstelle in freier Wildbahn ist“, erklärt Jan-Ian Boutin, Direktor von ESET Threat Research. „Wir haben zudem festgestellt, dass mehrere mit Russland verbündete Gruppen den Messengerdienst Telegram missbraucht haben, um auf Command-and-Control Server zuzugreifen oder um sensible Informationen durchsickern zu lassen. APT-Akteure aus anderen Regionen versuchten ebenfalls, Zugang zu ukrainischen Organisationen zu bekommen, sowohl für Cyberspionage als auch für den Diebstahl von geistigem Eigentum“, sagt Boutin weiter.

Kryptowährungen: weiteres Tätigkeitsfeld für APT-Gruppen

Finanzinstitutionen und Unternehmen, die mit Kryptowährungen arbeiten, waren das Ziel von Kimsuky aus Nordkorea und zwei Kampagnen der Lazarus Gruppe. Eine dieser Aktionen, die von den ESET Forschern als Operation In(ter)ception bezeichnet wird, wich von ihren üblichen Zielen in der Luftfahrt- sowie Rüstungsindustrie ab. Dabei wurde eine einzelne Person aus Argentinien mit einer als Jobangebot bei Coinbase getarnten Malware angegriffen. ESET entdeckte außerdem, dass die Gruppe Konni eine Technik verwendet, die in der Vergangenheit von Lazarus eingesetzt wurde – eine trojanisierte Version des Sumatra PDF Viewers.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

China-Gruppen nutzen oft Backdoors

In China ansässige Gruppen waren weiterhin sehr aktiv. Sie nutzten verschiedene Schwachstellen und bisher nicht gemeldete Backdoors. So identifizierte ESET die Linux-Variante einer Backdoor, die von SparklingGoblin gegen eine Universität in Hongkong eingesetzt wurde. Dieselbe Gruppe nutzte in einem anderen Fall eine Confluence-Schwachstelle, um ein Unternehmen der Lebensmittelindustrie in Deutschland und ein Ingenieurbüro in den USA anzugreifen. ESET Research vermutet außerdem, dass eine ManageEngine ADSelfService Plus-Schwachstelle hinter der Kompromittierung eines US-Rüstungsunternehmens steckt. Dessen Systeme wurden nur zwei Tage nach der Veröffentlichung der Schwachstelle angegriffen. In Japan identifizierte ESET mehrere Kampagnen der Gruppe Mirrorface, von denen eine in direktem Zusammenhang mit den Wahlen zum Oberhaus des Parlaments stand.

Iranische Gruppen haben Israel im Fokus

Die wachsende Zahl von Gruppen, die mit dem Iran in Verbindung stehen, konzentrierten ihre Bemühungen weiterhin hauptsächlich auf verschiedene israelische Branchen. ESET Forscher konnten eine Aktion, die auf ein Dutzend Organisationen abzielte, POLONIUM zuordnen und mehrere bisher nicht dokumentierte Backdoors identifizieren. Unternehmen und Einrichtungen, die in der Diamantenindustrie in Südafrika, Hongkong und Israel tätig sind oder mit ihr in Verbindung stehen, waren das Ziel von Agrius.

Die ESET Experten gehen davon aus, dass es sich dabei um einen Angriff auf die Lieferkette handelt, bei dem eine in Israel ansässige Software missbraucht wird, die in diesem Bereich eingesetzt wird. Bei einer anderen Kampagne in Israel wurden Hinweise auf mögliche Überschneidungen bei der Nutzung von Tools zwischen den Gruppen MuddyWater und APT35 gefunden. ESET Research entdeckte außerdem eine neue Version von Android-Malware in einer von der APT-C-50-Gruppe durchgeführten Kampagne. Sie wurde von einem Nachahmer einer iranischen Website verbreitet und verfügte über begrenzte Spionagefunktionen.

Über den ESET APT Activity Report

Ergänzend zum ESET Threat Report veröffentlicht ESET Research den ESET APT Activity Report, der einen regelmäßigen Überblick über ESETs Erkenntnisse zu den Aktivitäten von Advanced Persistent Threats (APT) geben soll. Die erste Ausgabe umfasst den Zeitraum Mai bis August 2022. Es ist geplant, dass der Report ab sofort flankierend zum ESET Threat Report erscheint.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

E-Mail-Kommunikation: Ende-zu-Ende verschlüsselt

E-Mails gelten als eine der wichtigsten Kommunikationsformen im geschäftlichen Umfeld. Aber nur jedes zweite Unternehmen nutzt Ende-zu-Ende-Verschlüsselungsmethoden wie PGP oder ➡ Weiterlesen

Lazarus: Neue Backdoor gegen Ziele in Europa 

Die durch viele Angriffe bekannte APT-Gruppe Lazarus setzt eine neue Backdoor Malware auch gegen Ziele in Europa ein. Der Einsatzzwecke ➡ Weiterlesen

Mobile Security Report: 2 neue Malware-Apps pro Minute 

Smartphone-Besitzer mit Android sind einem hohen Cyberrisiko ausgesetzt. Mobile Security: Die Angriffe werden zwar weniger, sind aber deutlich besser ausgeführt. ➡ Weiterlesen

Ransomware: HardBit 2.0 fragt nach Cyberversicherung

Die Gruppe der Ransomware HardBit 2.0 fragt nach einer erfolgreichen Attacke das Unternehmen nach Cyberversicherungsinformationen. So will die Gruppe ihre ➡ Weiterlesen

Cyberangriffe: Automobilindustrie stark betroffen

Eine neue Studie zeigt: die Automobilindustrie und Zulieferer sind besonders häufig von Cybervorfällen betroffen. Trend Micro hat die Cyberangriffe untersucht ➡ Weiterlesen

Mobiles Arbeiten verschlechtert die Cybersicherheitslage

Mangelndes Sicherheitsbewusstsein im Homeoffice: In einer Umfrage* von SoSafe gaben 9 von 10 Befragten an, dass sich die Cybersicherheitslage verschlechtert ➡ Weiterlesen

Backdoor: Chinesische Hackergruppe attackiert Europa

Die chinesische Hackergruppe Mustang Panda forciert ihre Angriffe auf Ziele in Europa, Australien und Taiwan. Forscher des IT-Sicherheitsherstellers ESET deckten ➡ Weiterlesen

2022: DDoS-Angriffe stiegen an und steigen weiter 

Wie eine Analyse der Daten aus 2022 zeigt, stiegen bösartige DDoS-Angriffe um 150%.Radware hat seinen Global Threat Analysis Report 2022 ➡ Weiterlesen