Cybersecurity-Experten konnten eine großangelegte Malware-Kampagne namens Voldemort identifizieren. Die Malware, die dabei zum Einsatz kommt, wurde dabei über Phishing-E-Mails verbreitet.
Damit möglichst viele Empfänger auf dies Nachrichten hereinfallen, gaben sich die Angreifer als Steuerbehörden verschiedener Länder aus – darunter auch das Bundeszentralamt für Steuern. Proofpoint-Analysten schreiben diese Kampagne nun der mit China verbündeten Bedrohungsgruppe TA415 (auch bekannt als APT41 und Brass Typhoon) zu. Diese Zuordnung basiert auf mehreren neu identifizierten, hochgradig vertrauenswürdigen Verbindungen zwischen der Kampagne, die Voldemort verbreitet, und bekannter TA415-zugeordneter Infrastruktur, einschließlich Überschneidungen mit Aktivitäten, die von Mandiant im Juli 2024 öffentlich gemeldet wurden.
So funktioniert Voldemort
Darüber hinaus identifizierte Proofpoint Ende August 2024 eine gezielte Kampagne mit einer fast identischen Angriffskette zur Verbreitung der Voldemort-Backdoor. Diese Aktivität täuschte einen taiwanesischen Verband der Luft- und Raumfahrtindustrie vor und zielte wiederholt auf weniger als fünf Luft- und Raumfahrtunternehmen in den USA und Taiwan ab, was mit den typischen Angriffen von TA415 und anderen mit China verbundenen Akteuren übereinstimmt. Besonders auffällig ist die komplexe Angriffskette, die mehrere Schritte umfasst: Zunächst werden die Opfer auf gefälschte Webseiten gelockt, die einen User-Agent-Check durchführen. Anschließend wird über eine .search-ms-Datei eine Windows-Suche manipuliert, um den Schadcode auszuführen. Dieser besteht aus einem Python-Skript, das weitere Informationen über das System sammelt und schließlich die eigentliche Malware, getarnt als legitime Dateien, herunterlädt und ausführt.
Die Voldemort-Kampagne ist ein Beispiel für die zunehmende Komplexität und Raffinesse von Cyber-Angriffen. Das Verschwimmen der Grenzen zwischen Spionage und Cyberkriminalität sowie die Kombination bekannter und neuer Techniken verdeutlichen die Herausforderungen, vor denen Unternehmen und Sicherheitsforscher heute stehen.
Mehr bei Proofpoint.com
Über Proofpoint Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.