Forscher des Sicherheitsanbieters Eset haben eine neue Hacking-Kampagne aufgedeckt, die das Außenministerium eines EU-Mitgliedstaats zu ihren Opfern zählt. Dabei kommt eine neue Crutch genannte Schadsoftware zum Einsatz. Sie stiehlt vertrauliche Dokumente und andere Dateien, indem sie sie auf von den Angreifern kontrollierte Dropbox-Konten hochlädt.
Crutch wiederum soll für Angriffe auf bestimmte Ziele entwickelt worden sein. Außer der Information, dass es sich um ein Außenministerium eines EU-Mitglieds handelt, hielt Eset bisher alle Details zu möglichen Opfern zurück. Das Ministerium soll allerdings zur allgemeinen Ausrichtung von Turla passen.
Zum Einsatz kommt Crutch der Analyse zufolge erst, nachdem das Netzwerk eines Opfers bereits kompromittiert wurde, beispielsweise über einen Spear-Phishing-Angriff. Crutch richte sich als Backdoor ein und kommuniziere mit einem bereits festgelegten Dropbox-Konto. Den Online-Speicherdienst hätten die Hacker gewählt, um beim Upload von Dateien keinen ungewöhnlichen oder auffälligen Netzwerk-Traffic zu generieren und einer Erkennung zu entgehen.
Eset fand außerdem heraus, dass Crutch im Lauf der Jahre mehrfach aktualisiert wurde. „Die wichtigste böswillige Aktivität ist die Exfiltration von Dokumenten und anderen sensiblen Dateien. Die Raffinesse der Angriffe und die technischen Details der Entdeckung bestätigen die Einschätzung, dass die Turla-Gruppe über beträchtliche Ressourcen verfügt, um ein so großes und vielfältiges Arsenal zu betreiben“, sagte Matthieu Faou, Malware-Forscher bei Eset.
Eine Nachlässigkeit bei den Opfern half den Hackern zudem, ihre Schadsoftware in einem kompromittierten Netzwerk zu verbreiten. „Während der Untersuchung stellten wir fest, dass Angreifer in der Lage waren, sich seitlich zu bewegen und zusätzliche Rechner zu kompromittieren, indem sie Admin-Passwörter wiederverwendeten“, ergänzte Faou. „Ich glaube, dass eine Beschränkung der Bewegungsmöglichkeiten das Leben der Angreifer erheblich erschweren würde. Das bedeutet, dass Benutzer daran gehindert werden, als Admin zu agieren, indem bei Admin-Konten eine Zwei-Faktor-Authentifizierung und einzigartige und komplexe Passwörter verwendet werden.“
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
