Neues Malware-Implantat bedroht Industrieunternehmen

Neues Malware-Implantat bedroht Industrieunternehmen

Beitrag teilen

Unternehmen aus dem Industriesektor in Osteuropa wurden von einem Bedrohungsakteur mit fortgeschrittenen Implantaten und neuartiger Malware angegriffen. Cloud-basierte Datenspeicherdienste  wurden genutzt, um Daten zu exfiltrieren und anschließend Malware zu verbreiten.

Kaspersky hat eine Reihe zielgerichteter Angriffe auf Industrieunternehmen in Osteuropa entdeckt, deren Ziel es war, einen dauerhaften Kanal für die Datenexfiltration einzurichten. Diese Attacken wiesen erhebliche Ähnlichkeiten mit zuvor untersuchten Angriffen wie ExCone und DexCone auf; dies lässt auf eine Beteiligung von APT31, auch bekannt als Judgement Panda und Zirconium, schließen.

Anzeige

Bei den Angriffen kamen fortschrittliche Implantate zum Einsatz, die den Fernzugriff ermöglichen sollten, und das umfassende Wissen und die Erfahrung der Bedrohungsakteure bei der Umgehung von Sicherheitsmaßnahmen verdeutlichen. Diese verhalfen zur Einrichtung dauerhafter Kanäle für die Datenexfiltration – auch aus hochsicheren Systemen hinaus

Exfiltration der Daten durch Cloud-Speicherdienste

Zudem wurden extensiv DLL-Hijacking-Techniken eingesetzt, die den Missbrauch legitimer ausführbarer Dateien von Drittanbietern ermöglichten, die anfällig dafür sind, schädliche dynamisch verknüpfte Bibliotheken in ihren Speicher zu laden. Damit sollte einer Erkennung während der Ausführung mehrerer Implantate in den drei Angriffsphasen vorgebeugt werden.

Um die Daten zu exfiltrieren und anschließend Malware zu verbreiten, wurden Cloud-Speicherdienste wie Dropbox und Yandex Disk sowie temporäre File-Sharing-Plattformen verwendet. Weiterhin stellten die Bedrohungsakteure eine Command-and-Control-Infrastruktur (C2) in der Yandex Cloud sowie auf regulären virtuellen privaten Servern (VPS) bereit, um die Kontrolle über kompromittierte Netzwerke zu behalten.

Neue Varianten der Malware FourteenHi zielen auf Industrieunternehmen

Zudem wurden im Zuge der Angriffe neue Varianten der Malware FourteenHi implementiert, die bereits im Jahr 2021 während der gegen Regierungsbehörden gerichteten ExCone-Kampagne entdeckt wurde. Diese hat sich seitdem weiterentwickelt; im vergangenen Jahr tauchten neue Varianten auf, die speziell auf die Infrastruktur von Industrieunternehmen abzielen. Außerdem fanden die Experten von Kaspersky das neuartige Malware-Implantat MeatBall. Dabei handelt es sich um ein Backdoor-Implantat, das über umfangreiche Fernzugriffsmöglichkeiten verfügt.

„Wir dürfen die Risiken, denen die Industrie durch zielgerichtete Angriffe ausgesetzt ist, nicht unterschätzen“, so Kirill Kruglov, Senior Security Researcher bei Kaspersky ICS CERT. „Unternehmen digitalisieren ihre Prozesse weiter und sind auf vernetzte Systeme angewiesen. Die potenziellen Folgen erfolgreicher Angriffe auf kritische Infrastrukturen sind bedeutend. Diese von uns untersuchte APT-Kampagne unterstreicht die entscheidende Bedeutung umfassender Cybersicherheitsmaßnahmen, um industrielle Infrastrukturen vor aktuellen und zukünftigen Bedrohungen zu schützen.“

Kaspersky-Empfehlungen zum Schutz von Operational Technology

  • Regelmäßige Sicherheitsbewertungen der OT-Systeme durchführen, um mögliche Cyber-Sicherheitsprobleme zu identifizieren und zu beseitigen.
  • Eine kontinuierliche Schwachstellenbewertung und -triage als Grundlage für einen effektiven Schwachstellenmanagementprozess etablieren. Dedizierte Lösungen wie Kaspersky Industrial CyberSecurity liefern einzigartige verwertbare Informationen, die nicht vollständig öffentlich verfügbar sind und beim Schutz der Systeme unterstützen können.
  • Zeitnah Updates für die Schlüsselkomponenten des OT-Netzwerks durchführen. Denn das Einspielen von Sicherheitsfixes und -patches sowie die Implementierung von Kompensationsmaßnahmen, sobald dies technisch möglich ist, ist von entscheidender Bedeutung, um einen schwerwiegenden Vorfall zu verhindern.
  • Eine EDR-Lösung wie Kaspersky Endpoint Detection and Response zur rechtzeitigen Erkennung, Untersuchung und Behebung von Vorfällen verwenden.
  • Spezielle OT-Sicherheitsschulungen für IT-Sicherheitsteams und OT-Personal durchführen, damit das Team Vorfälle verbeugen, erkennen und darauf reagieren kann.
Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen

Modulare Speicherlösung – Hochsicher und sofort verfügbar

Hochsichere Speicherlösungen müssen nicht nur höchsten Qualitätsansprüchen genügen, sie müssen schnell arbeiten und so schnell wie möglich verfügbar sein. FAST ➡ Weiterlesen