Spionage gegen EU-Gesundheitsbehörde und Botschaften

Cisco Talos hat eine neue Gruppe von Cyberkriminellen entdeckt und ihr den Namen „YoroTrooper“ gegeben. Sie hat seit mindestens Juni 2022 mehrere erfolgreiche Spionagekampagnen durchgeführt. Unter anderem konnte YoroTrooper bereits zwei internationale Organisationen kompromittieren: eine kritische Gesundheitseinrichtung der Europäischen Union (EU) und die Weltorganisation für geistiges Eigentum (WIPO).

Die Hauptziele von YoroTrooper sind laut Analyse jedoch Behörden oder Energieorganisationen in Aserbaidschan, Tadschikistan, Kirgisistan und anderen Ländern der Gemeinschaft Unabhängiger Staaten (GUS). Erfolgreiche Angriffe betrafen auch Botschaften anderer Länder, darunter von Aserbaidschan und Turkmenistan. Die Security-Experten von Cisco Talos gehen davon aus, dass YoroTrooper auch andere Organisationen in Europa und türkische Behörden im Visier hat.

Unter anderem konnten die Cyberkriminellen bereits Anmeldedaten aus verschiedenen Anwendungen sowie Browserverläufe und Cookies, Systeminformationen und Screenshots stehlen. Daher scheinen sie es auf die Exfiltration von Dokumenten und anderen Informationen abgesehen zu haben, die sie wahrscheinlich für künftige Operationen nutzen.

Holger Unterbrink, Technical Leader Cisco Talos Deutschland. „Die Angriffe sind raffiniert ausgeführt, unter anderem durch den Einsatz von ‚LNK files‘ und einem ‚Custom Python Info Stealer‘.“