Neues Malware-Implantat bedroht Industrieunternehmen

Neues Malware-Implantat bedroht Industrieunternehmen

Beitrag teilen

Unternehmen aus dem Industriesektor in Osteuropa wurden von einem Bedrohungsakteur mit fortgeschrittenen Implantaten und neuartiger Malware angegriffen. Cloud-basierte Datenspeicherdienste  wurden genutzt, um Daten zu exfiltrieren und anschließend Malware zu verbreiten.

Kaspersky hat eine Reihe zielgerichteter Angriffe auf Industrieunternehmen in Osteuropa entdeckt, deren Ziel es war, einen dauerhaften Kanal für die Datenexfiltration einzurichten. Diese Attacken wiesen erhebliche Ähnlichkeiten mit zuvor untersuchten Angriffen wie ExCone und DexCone auf; dies lässt auf eine Beteiligung von APT31, auch bekannt als Judgement Panda und Zirconium, schließen.

Anzeige

Bei den Angriffen kamen fortschrittliche Implantate zum Einsatz, die den Fernzugriff ermöglichen sollten, und das umfassende Wissen und die Erfahrung der Bedrohungsakteure bei der Umgehung von Sicherheitsmaßnahmen verdeutlichen. Diese verhalfen zur Einrichtung dauerhafter Kanäle für die Datenexfiltration – auch aus hochsicheren Systemen hinaus

Exfiltration der Daten durch Cloud-Speicherdienste

Zudem wurden extensiv DLL-Hijacking-Techniken eingesetzt, die den Missbrauch legitimer ausführbarer Dateien von Drittanbietern ermöglichten, die anfällig dafür sind, schädliche dynamisch verknüpfte Bibliotheken in ihren Speicher zu laden. Damit sollte einer Erkennung während der Ausführung mehrerer Implantate in den drei Angriffsphasen vorgebeugt werden.

Um die Daten zu exfiltrieren und anschließend Malware zu verbreiten, wurden Cloud-Speicherdienste wie Dropbox und Yandex Disk sowie temporäre File-Sharing-Plattformen verwendet. Weiterhin stellten die Bedrohungsakteure eine Command-and-Control-Infrastruktur (C2) in der Yandex Cloud sowie auf regulären virtuellen privaten Servern (VPS) bereit, um die Kontrolle über kompromittierte Netzwerke zu behalten.

Neue Varianten der Malware FourteenHi zielen auf Industrieunternehmen

Zudem wurden im Zuge der Angriffe neue Varianten der Malware FourteenHi implementiert, die bereits im Jahr 2021 während der gegen Regierungsbehörden gerichteten ExCone-Kampagne entdeckt wurde. Diese hat sich seitdem weiterentwickelt; im vergangenen Jahr tauchten neue Varianten auf, die speziell auf die Infrastruktur von Industrieunternehmen abzielen. Außerdem fanden die Experten von Kaspersky das neuartige Malware-Implantat MeatBall. Dabei handelt es sich um ein Backdoor-Implantat, das über umfangreiche Fernzugriffsmöglichkeiten verfügt.

„Wir dürfen die Risiken, denen die Industrie durch zielgerichtete Angriffe ausgesetzt ist, nicht unterschätzen“, so Kirill Kruglov, Senior Security Researcher bei Kaspersky ICS CERT. „Unternehmen digitalisieren ihre Prozesse weiter und sind auf vernetzte Systeme angewiesen. Die potenziellen Folgen erfolgreicher Angriffe auf kritische Infrastrukturen sind bedeutend. Diese von uns untersuchte APT-Kampagne unterstreicht die entscheidende Bedeutung umfassender Cybersicherheitsmaßnahmen, um industrielle Infrastrukturen vor aktuellen und zukünftigen Bedrohungen zu schützen.“

Kaspersky-Empfehlungen zum Schutz von Operational Technology

  • Regelmäßige Sicherheitsbewertungen der OT-Systeme durchführen, um mögliche Cyber-Sicherheitsprobleme zu identifizieren und zu beseitigen.
  • Eine kontinuierliche Schwachstellenbewertung und -triage als Grundlage für einen effektiven Schwachstellenmanagementprozess etablieren. Dedizierte Lösungen wie Kaspersky Industrial CyberSecurity liefern einzigartige verwertbare Informationen, die nicht vollständig öffentlich verfügbar sind und beim Schutz der Systeme unterstützen können.
  • Zeitnah Updates für die Schlüsselkomponenten des OT-Netzwerks durchführen. Denn das Einspielen von Sicherheitsfixes und -patches sowie die Implementierung von Kompensationsmaßnahmen, sobald dies technisch möglich ist, ist von entscheidender Bedeutung, um einen schwerwiegenden Vorfall zu verhindern.
  • Eine EDR-Lösung wie Kaspersky Endpoint Detection and Response zur rechtzeitigen Erkennung, Untersuchung und Behebung von Vorfällen verwenden.
  • Spezielle OT-Sicherheitsschulungen für IT-Sicherheitsteams und OT-Personal durchführen, damit das Team Vorfälle verbeugen, erkennen und darauf reagieren kann.
Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Whitepaper: Threat Intelligence verhindert Cyberangriffe

[wpcode id="17192"] Kaspersky-Studie: 66 Prozent der Unternehmen in Deutschland verhindern Cyberangriffe durch Threat Intelligence / Data Feeds In 75 Prozent ➡ Weiterlesen

NIS2-Umsetzung in Deutschland vorerst gescheitert

Das vorläufige Scheitern des laufenden Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz in dieser Legislaturperiode sorgt derzeit für Schlagzeilen und Verunsicherung. Für die meisten ➡ Weiterlesen

Report 2024: Phishing und genAI nehmen zu

Der Cloud & Threat Report 2024 zeigt, dass Mitarbeiter dreimal häufiger auf Phishing-Links geklickt haben als 2023. Er deckt wachsende ➡ Weiterlesen

Datensicherheit für Databricks

Ein Spezialist für datenzentrierte Cybersicherheit, baut die Abdeckung seiner Datensicherheitsplattform auf Databricks aus. Auf diese Weise können auch kritische Daten ➡ Weiterlesen

IoT- und OT-Sicherheit 2025

Cybersecurity-Experten erwarten in diesem Jahr eine Zunahme der Angriffe auf kritische Infrastrukturen und auf die Produktionsindustrie. Vor allem Organisationen, mit ➡ Weiterlesen

Cybersicherheit: Darauf müssen KRITIS-Unternehmen achten

In 2024 war NIS2 ein großes Thema im Bereich der Cybersicherheit. Und auch in 2025 und den kommenden Jahren wird ➡ Weiterlesen

Trends 2025: Industrie setzt auf die Cloud

Ein Experte für die Sicherheit cyber-physischer Systeme zeigt drei Trends für 2025 auf: NIS2 wird das Bewusstsein für Cyersicherheit weiter ➡ Weiterlesen

KI basierte Cybersicherheitstools – eine Vertrauensfrage

Trotz Hype: Knapp 60 Prozent der deutschen Unternehmen sehen potenzielle Mängel in Cybersicherheitstools, die auf generativer KI basieren, als herausragendes ➡ Weiterlesen