Security-Experten von ESET haben eine bisher unbekannte, aus China stammende Hackergruppe entdeckt, die mit einem neuen Tool namens NSPX30 Jagd auf Daten macht. Anstatt den Nutzer über schadhafte E-Mail-Anhänge und Webseiten zu infizieren, kommt es per offiziellen App-Updates auf seine Zielsysteme. Ist die Malware erst einmal installiert, fängt sie sofort an, Daten zu sammeln und an ihre Hintermänner weiterzuleiten. Dazu gehören Screenshots, auf dem Gerät gespeicherte Informationen sowie Tastaturanschläge. Das genaue Angriffsmuster und wie die Gruppe ihre Identität verschleiert, ist allerdings noch unbekannt.
Bei dem Tool mit dem kryptischen Namen NSPX30 handelt es sich um ein Implantat, also eine Malware, die Hackern weitreichenden Zugang zu den Systemen seiner Opfer erlaubt. Die Grundversion dieses Tools tauchte bereits 2005 erstmalig auf. Dieses Implantat enthält verschiedene Funktionen, darunter einen Dropper, einen Installer, einen Orchestrator und eine Backdoor. Mit den beiden letzten Funktionen können die Hacker Anwendungen wie Skype, Telegram und die vor allem in China beliebten Messenger-Dienste Tencent QQ und WeChat ausspionieren.
„Wie genau die Angreifer in der Lage sind, NSPX30 als bösartige Updates auszuliefern, ist uns nicht bekannt, da wir das Tool, mit dem die Kriminellen ihre Ziele zunächst kompromittieren, noch nicht entdeckt haben“, erklärt ESET-Forscher Facundo Muñoz. „Wir vermuten jedoch, dass die Angreifer die Schadsoftware in den Netzwerken ihrer Opfer einsetzen, indem sie sie auf anfälligen Netzwerkgeräten wie Routern oder Gateways installieren. Dafür sprechen unsere Erfahrungen mit ähnlichen chinesischen Bedrohungsakteuren sowie mit jüngsten Untersuchungen von Router-Implantaten, die einer anderen chinesischen Gruppe, MustangPanda, zugeschrieben werden.“
Zu den Zielen der neuen Hackergruppe gehören nicht identifizierte Personen in China und Japan und eine nicht identifizierte chinesischsprachige Person, die mit dem Netzwerk einer renommierten öffentlichen Forschungsuniversität in Großbritannien verbunden ist. Auch ein großes Produktions- und Handelsunternehmen in China sowie dort ansässige Niederlassungen eines japanischen Produktionsunternehmens sind ins Fadenkreuz von Blackwood geraten. Für die betroffenen Personen und Organisationen ist es nicht leicht, die Angriffe endgültig abzuwehren: Die Akteure versuchen immer wieder, die Systeme ihrer Opfer zu kompromittieren, sobald der Zugriff verloren geht.
Blackwood ist eine Advanced Persistent Threat (APT)-Gruppe, die vom chinesischen Staat finanziert wird und seit mindestens 2018 aktiv ist. Seitdem hat sie vor allem durch Cyberspionage-Kampagnen gegen chinesische und japanische Einzelpersonen sowie Unternehmen durchgeführt. Dabei bevorzugt sie die Adversary-in-the-Middle(AitM)-Methode: Cyberkriminelle setzen sich hierbei in die Kommunikation zwischen dem Nutzer und einem legitimen Dienst und können damit sogar Sicherungsmechanismen wie eine Multi-Faktor-Authentifizierung umgehen.
Studie von Palo Alto Networks: Deutsche Unternehmen konsolidieren ihre Cyberlösungen unterdurchschnittlich, vertrauen aber der KI.
Ein Hinweis findet sich im Code einer Vorabversion von Skype für Windows. Darin rät Microsoft…
Auch ein gesättigter Markt für Verbraucher belastet den Markt. In diesem Jahr soll die Migration…
Ocelot setzt auch eine neue Art von Qubits. Sie sollen den Ressourcenbedarf für die Fehlerkorrektur…
Endgeräte, Apps und Mobilkommunikation sollen dieses Jahr 40,1 Milliarden Euro umsetzen. Ein Plus von 2…
Schützen Sie sich vor KI-gestützten Reisebetrügereien! Erfahren Sie, wie Cyberkriminelle vorgehen und welche Maßnahmen Sie…
