Schweizer KMUs im Fadenkreuz

Schweizer Flagge
Anzeige

Beitrag teilen

Die Experten von Kaspersky registrieren, die APT-Gruppe DeathStalker spioniert besonders Schweizer KMUs aus. Die APT-Gruppe hat weitere mittelständische Unternehmen weltweit im Visier. Oft finden sich Opfer in der Finanzbranche und unter Anwaltskanzleien.

Die APT-Gruppe DeathStalker spioniert seit mindestens 2012 kleine und mittelständische Unternehmen im Finanzsektor aus. Die jüngsten Kaspersky-Untersuchungen zeigen, dass DeathStalker Firmen in der Schweiz sowie auf der ganzen Welt ins Visier genommen hat.

Anzeige

DeathStalker hat sich speziell auf Cyberspionage gegen Anwaltskanzleien und Organisationen im Finanzsektor spezialisiert. Der Bedrohungsakteur ist in hohem Maße anpassungsfähig und zeichnet sich dadurch aus, dass er einem iterativen, schnellen und flexiblen Ansatz beim Software-Design folgt. So kann DeathStalker effektiv Kampagnen durchzuführen.

Individuelles Aktivitätsspektrum erschwert Erkennung

Kaspersky-Kaspersky Experten waren nun in der Lage, die Aktivitäten von DeathStalker mit den drei Malware-Familien Powersing, Evilnum und Janicab in Verbindung zu bringen, was das breite Aktivitätsspektrum der Gruppe seit mindestens 2012 belegt. Während Kaspersky Powersing bereits 2018 identifizieren konnte, wurden Erkenntnisse über Evilnum und Janicab von anderen Cybersicherheitsanbietern gemeldet. Die Analyse von Code-Ähnlichkeiten und Viktimologie zwischen den drei Malware-Familien ermöglichte es, sie mit mittlerer Wahrscheinlichkeit in Verbindung zu bringen.

Anzeige

Die Taktiken, Techniken und Vorgehensweisen der Gruppe blieben über die Jahre unverändert: Sie nutzt individuelle Spear-Phishing- Mails, um Archive mit schädlichen Dateien auszuliefern. Klickt ein Nutzer den Shortcut dazu an, wird ein schädliches Skript ausgeführt und lädt weitere Komponenten aus dem Internet nach. Auf diese Weise erhalten die Angreifer die Kontrolle über das infizierte Gerät.

DeathStalker nutzt Powersing-Angriffe

Powersing, ein Power-Shell-basiertes Implantat, war die erste Malware, die diesem Bedrohungsakteur zugeordnet werden konnte. Sobald der Computer eines Opfers infiziert wurde, kann die Malware Screenshots erstellen und beliebige Powershell-Skripts ausführen. Mit alternativen Persistenz-Methoden, die individuell auf die eingesetzte Sicherheitslösung eines infizierten Geräts zugeschnitten sind, entgeht die Malware einer Erkennung. DeathStalker führt damit vor jeder Kampagne Erkennungstests durch und aktualisiert die Skripte entsprechend.

Bei Powersing-Angriffen nutzt DeathStalker zudem einen bekannten öffentlichen Dienst, um die anfängliche Backdoor-Kommunikation in den legitimen Netzwerkverkehr zu integrieren. Dies schränkt die Möglichkeit, eine solche Operation zu behindern, effektiv ein. Durch den Einsatz von Dead-Drop-Resolvern – Unmengen von Informationen, die auf eine zusätzliche Kommando- und Kontrollinfrastruktur hinweisen, die in einer Vielzahl legitimer sozialer Medien, Blogging- und Messaging-Dienste platziert wurden – konnte DeathStalker einer Erkennung entgehen und eigene Kampagnen schnell zum Abschluss bringen. Sobald die Opfer infiziert sind, wenden sie sich an diese Resolver und werden von ihnen umgeleitet, wodurch die Kommunikationskette verborgen bleibt.

Unternehmen weltweit von DeathStalker betroffen

Aktionen von DeathStalker wurden auf der ganzen Welt entdeckt. Powersing-Aktivitäten konnten in Argentinien, China, Zypern, Israel, Libanon, der Schweiz, Taiwan, der Türkei, dem Vereinigten Königreich und den Vereinigten Arabischen Emiraten festgestellt werden. Kaspersky fand darüber hinaus Evilnum-Opfer in Zypern, Indien, Libanon, Russland und den Vereinigten Arabischen Emiraten. Ausführliche Informationen über Indicators of Compromise im Zusammenhang mit dieser Gruppe – einschließlich Datei-Hashes und C2-Server – können über das Kaspersky Threat Intelligence Portal [2] abgerufen werden.

„DeathStalker ist ein Paradebeispiel für einen Bedrohungsakteur, gegen den sich Organisationen des privaten Sektors zur Wehr setzen müssen“, betont Ivan Kwiatkowski, Sicherheitsexperte bei Kaspersky. „Während wir uns oft auf die Aktivitäten von APT-Gruppen konzentrieren, erinnert uns DeathStalker daran, dass auch Organisationen, die traditionell nicht zu den sicherheitsbewusstesten gehören, wissen müssen, dass sie zur Zielscheibe werden können. Darüber hinaus gehen wir aufgrund der kontinuierlichen Aktivitäten davon aus, dass DeathStalker durch den Einsatz immer neuer Mittel auch weiterhin für Organisationen weltweit eine Bedrohung bleiben wird. Dieser Akteur ist ein weiterer Beweis dafür, dass auch kleine und mittlere Unternehmen in Sicherheits- und Bewusstseinsschulungen investieren müssen. Um vor DeathStalker geschützt zu bleiben, raten wir Organisationen, die Möglichkeit zur Verwendung von Skriptsprachen wie powershell.exe und cscript.exe zu deaktivieren, wo immer dies möglich ist. Wir empfehlen auch, dass künftige Awareness-Schulungen und Bewertungen von Sicherheitsprodukten Infektionsketten auf der Basis von LNK-Dateien (Shortcut-Files) einbeziehen.“

Mehr dazu bei SecureList von Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

OneLogin: globale Studie zu Sicherheit im Homeoffice

OneLogin, eines der weltweit führenden Unternehmen im Bereich des Identitäts- und Zugriffsmanagements, hat heute eine neue globale Studie veröffentlicht, in ➡ Weiterlesen

Zyxel: neue KMU-Firewall-Modelle USG-FLEX-100/200/500

Während die Telearbeit zur neuen Normalität wird, stehen Unternehmen vor der Herausforderung, ihre Geschäftstätigkeit sicher zu gestalten und gleichzeitig die ➡ Weiterlesen

Malware, Phishing oder Unachtsamkeit – Was ist das größte Risiko für die IT-Sicherheit?

Nicht Angriffe von außen, sondern die eigenen Mitarbeiter stellen das größte Risiko für die IT-Sicherheit von Unternehmen dar. In der ➡ Weiterlesen

Kaspersky Endpoint Security for Business mit EDR Optimum & Sandbox

Zukunftsweisender 3-in-1-Lösungsansatz für erweiterte Cybersicherheit für mittelständische und große Unternehmen Die neueste Version der Kaspersky-Flaggschifflösung Endpoint Security for Business [1] ➡ Weiterlesen

Analyse-Ergebnisse des Kaspersky Threat Intelligence Portal

Viele eingereichte Anfragen als Link oder Datei an das Kaspersky Threat Intelligence Portal erweisen sich in der Analyse als Trojaner ➡ Weiterlesen

DriveLock Release 2020 mit neuen Funktionen

Das neue DriveLock 2020.1 Release kommt mit zahlreichen Verbesserungen und implementiert Kundenwünsche als Updates: Schwachstellen-Scanner, Self-Service Portal für Anwender, Pre-Boot ➡ Weiterlesen

Kaspersky Security Awareness Training

Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training, die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und ➡ Weiterlesen

Bitdefender GravityZone mit „Human Risk Analytics“

EDR-Modul jetzt auch On-Premises erhältlich zur Abmilderung von Ransomware-Attacken Bitdefender bietet ab sofort mit Human Risk Analytics eine zusätzliche Funktion ➡ Weiterlesen