Chinesische Hackergruppe geht auf Datenraubzug

Security-Experten von ESET haben eine bisher unbekannte, aus China stammende Hackergruppe entdeckt, die mit einem neuen Tool namens NSPX30 Jagd auf Daten macht. Anstatt den Nutzer über schadhafte E-Mail-Anhänge und Webseiten zu infizieren, kommt es per offiziellen App-Updates auf seine Zielsysteme. Ist die Malware erst einmal installiert, fängt sie sofort an, Daten zu sammeln und an ihre Hintermänner weiterzuleiten. Dazu gehören Screenshots, auf dem Gerät gespeicherte Informationen sowie Tastaturanschläge. Das genaue Angriffsmuster und wie die Gruppe ihre Identität verschleiert, ist allerdings noch unbekannt.

Implantat erlaubt Hackern weitreichenden Systemzugang

Bei dem Tool mit dem kryptischen Namen NSPX30 handelt es sich um ein Implantat, also eine Malware, die Hackern weitreichenden Zugang zu den Systemen seiner Opfer erlaubt. Die Grundversion dieses Tools tauchte bereits 2005 erstmalig auf. Dieses Implantat enthält verschiedene Funktionen, darunter einen Dropper, einen Installer, einen Orchestrator und eine Backdoor. Mit den beiden letzten Funktionen können die Hacker Anwendungen wie Skype, Telegram und die vor allem in China beliebten Messenger-Dienste Tencent QQ und WeChat ausspionieren.

„Wie genau die Angreifer in der Lage sind, NSPX30 als bösartige Updates auszuliefern, ist uns nicht bekannt, da wir das Tool, mit dem die Kriminellen ihre Ziele zunächst kompromittieren, noch nicht entdeckt haben“, erklärt ESET-Forscher Facundo Muñoz. „Wir vermuten jedoch, dass die Angreifer die Schadsoftware in den Netzwerken ihrer Opfer einsetzen, indem sie sie auf anfälligen Netzwerkgeräten wie Routern oder Gateways installieren. Dafür sprechen unsere Erfahrungen mit ähnlichen chinesischen Bedrohungsakteuren sowie mit jüngsten Untersuchungen von Router-Implantaten, die einer anderen chinesischen Gruppe, MustangPanda, zugeschrieben werden.“

Wer sind die Opfer von Blackwood?

Zu den Zielen der neuen Hackergruppe gehören nicht identifizierte Personen in China und Japan und eine nicht identifizierte chinesischsprachige Person, die mit dem Netzwerk einer renommierten öffentlichen Forschungsuniversität in Großbritannien verbunden ist. Auch ein großes Produktions- und Handelsunternehmen in China sowie dort ansässige Niederlassungen eines japanischen Produktionsunternehmens sind ins Fadenkreuz von Blackwood geraten. Für die betroffenen Personen und Organisationen ist es nicht leicht, die Angriffe endgültig abzuwehren: Die Akteure versuchen immer wieder, die Systeme ihrer Opfer zu kompromittieren, sobald der Zugriff verloren geht.

Hartnäckiges Cyber-Implantat

Blackwood ist eine Advanced Persistent Threat (APT)-Gruppe, die vom chinesischen Staat finanziert wird und seit mindestens 2018 aktiv ist. Seitdem hat sie vor allem durch Cyberspionage-Kampagnen gegen chinesische und japanische Einzelpersonen sowie Unternehmen durchgeführt. Dabei bevorzugt sie die Adversary-in-the-Middle(AitM)-Methode: Cyberkriminelle setzen sich hierbei in die Kommunikation zwischen dem Nutzer und einem legitimen Dienst und können damit sogar Sicherungsmechanismen wie eine Multi-Faktor-Authentifizierung umgehen.

Roger Homrich

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago