Schweizer KMUs im Fadenkreuz

Schweizer Flagge

Beitrag teilen

Die Experten von Kaspersky registrieren, die APT-Gruppe DeathStalker spioniert besonders Schweizer KMUs aus. Die APT-Gruppe hat weitere mittelständische Unternehmen weltweit im Visier. Oft finden sich Opfer in der Finanzbranche und unter Anwaltskanzleien.

Die APT-Gruppe DeathStalker spioniert seit mindestens 2012 kleine und mittelständische Unternehmen im Finanzsektor aus. Die jüngsten Kaspersky-Untersuchungen zeigen, dass DeathStalker Firmen in der Schweiz sowie auf der ganzen Welt ins Visier genommen hat.

Anzeige

DeathStalker hat sich speziell auf Cyberspionage gegen Anwaltskanzleien und Organisationen im Finanzsektor spezialisiert. Der Bedrohungsakteur ist in hohem Maße anpassungsfähig und zeichnet sich dadurch aus, dass er einem iterativen, schnellen und flexiblen Ansatz beim Software-Design folgt. So kann DeathStalker effektiv Kampagnen durchzuführen.

Individuelles Aktivitätsspektrum erschwert Erkennung

Kaspersky-Kaspersky Experten waren nun in der Lage, die Aktivitäten von DeathStalker mit den drei Malware-Familien Powersing, Evilnum und Janicab in Verbindung zu bringen, was das breite Aktivitätsspektrum der Gruppe seit mindestens 2012 belegt. Während Kaspersky Powersing bereits 2018 identifizieren konnte, wurden Erkenntnisse über Evilnum und Janicab von anderen Cybersicherheitsanbietern gemeldet. Die Analyse von Code-Ähnlichkeiten und Viktimologie zwischen den drei Malware-Familien ermöglichte es, sie mit mittlerer Wahrscheinlichkeit in Verbindung zu bringen.

Die Taktiken, Techniken und Vorgehensweisen der Gruppe blieben über die Jahre unverändert: Sie nutzt individuelle Spear-Phishing- Mails, um Archive mit schädlichen Dateien auszuliefern. Klickt ein Nutzer den Shortcut dazu an, wird ein schädliches Skript ausgeführt und lädt weitere Komponenten aus dem Internet nach. Auf diese Weise erhalten die Angreifer die Kontrolle über das infizierte Gerät.

DeathStalker nutzt Powersing-Angriffe

Powersing, ein Power-Shell-basiertes Implantat, war die erste Malware, die diesem Bedrohungsakteur zugeordnet werden konnte. Sobald der Computer eines Opfers infiziert wurde, kann die Malware Screenshots erstellen und beliebige Powershell-Skripts ausführen. Mit alternativen Persistenz-Methoden, die individuell auf die eingesetzte Sicherheitslösung eines infizierten Geräts zugeschnitten sind, entgeht die Malware einer Erkennung. DeathStalker führt damit vor jeder Kampagne Erkennungstests durch und aktualisiert die Skripte entsprechend.

Bei Powersing-Angriffen nutzt DeathStalker zudem einen bekannten öffentlichen Dienst, um die anfängliche Backdoor-Kommunikation in den legitimen Netzwerkverkehr zu integrieren. Dies schränkt die Möglichkeit, eine solche Operation zu behindern, effektiv ein. Durch den Einsatz von Dead-Drop-Resolvern – Unmengen von Informationen, die auf eine zusätzliche Kommando- und Kontrollinfrastruktur hinweisen, die in einer Vielzahl legitimer sozialer Medien, Blogging- und Messaging-Dienste platziert wurden – konnte DeathStalker einer Erkennung entgehen und eigene Kampagnen schnell zum Abschluss bringen. Sobald die Opfer infiziert sind, wenden sie sich an diese Resolver und werden von ihnen umgeleitet, wodurch die Kommunikationskette verborgen bleibt.

Unternehmen weltweit von DeathStalker betroffen

Aktionen von DeathStalker wurden auf der ganzen Welt entdeckt. Powersing-Aktivitäten konnten in Argentinien, China, Zypern, Israel, Libanon, der Schweiz, Taiwan, der Türkei, dem Vereinigten Königreich und den Vereinigten Arabischen Emiraten festgestellt werden. Kaspersky fand darüber hinaus Evilnum-Opfer in Zypern, Indien, Libanon, Russland und den Vereinigten Arabischen Emiraten. Ausführliche Informationen über Indicators of Compromise im Zusammenhang mit dieser Gruppe – einschließlich Datei-Hashes und C2-Server – können über das Kaspersky Threat Intelligence Portal [2] abgerufen werden.

„DeathStalker ist ein Paradebeispiel für einen Bedrohungsakteur, gegen den sich Organisationen des privaten Sektors zur Wehr setzen müssen“, betont Ivan Kwiatkowski, Sicherheitsexperte bei Kaspersky. „Während wir uns oft auf die Aktivitäten von APT-Gruppen konzentrieren, erinnert uns DeathStalker daran, dass auch Organisationen, die traditionell nicht zu den sicherheitsbewusstesten gehören, wissen müssen, dass sie zur Zielscheibe werden können. Darüber hinaus gehen wir aufgrund der kontinuierlichen Aktivitäten davon aus, dass DeathStalker durch den Einsatz immer neuer Mittel auch weiterhin für Organisationen weltweit eine Bedrohung bleiben wird. Dieser Akteur ist ein weiterer Beweis dafür, dass auch kleine und mittlere Unternehmen in Sicherheits- und Bewusstseinsschulungen investieren müssen. Um vor DeathStalker geschützt zu bleiben, raten wir Organisationen, die Möglichkeit zur Verwendung von Skriptsprachen wie powershell.exe und cscript.exe zu deaktivieren, wo immer dies möglich ist. Wir empfehlen auch, dass künftige Awareness-Schulungen und Bewertungen von Sicherheitsprodukten Infektionsketten auf der Basis von LNK-Dateien (Shortcut-Files) einbeziehen.“

Mehr dazu bei SecureList von Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen

Cybertrends 2025 – womit man rechnen muss

Was bedeutet 2025 für die Cybersicherheit in Unternehmen? Welche Cyberattacken werden häufiger, welche Branchen stehen besonders im Visier und welche ➡ Weiterlesen

Zero-Trust-Segmentation gegen Ransomware

Ein Anbieter kündigt mit Zero-Trust-Segmentation die erste Lösung für Zero-Trust-Segmentierung an, die eine sichere, agile und kostengünstige Möglichkeit bietet, User, ➡ Weiterlesen

EMA: Cloud Connector für Microsoft 365

Für die einfachere Anbindung der Datenmanagement- und Archivierungslösung EMA an Microsoft 365 Exchange Online sowie an lokale Exchange-Infrastrukturen ist jetzt ➡ Weiterlesen