APT-Analyse

Hackergruppen aus Russland, Nordkorea, Iran und China ungebremst aktiv

Eine aktuelle Analyse zeigt, dass Hackerbanden aus Russland, Nordkorea, Iran und China weiterhin besonders aktiv sind.
Von 
CSO | 18. November 2022 13:30 Uhr
Die gefährlichsten APT-Banden kommen aus Russland, China, Nordkorea und dem Iran.
Die gefährlichsten APT-Banden kommen aus Russland, China, Nordkorea und dem Iran.
Foto: Profit_Image - shutterstock.com

Der Security-Anbieter Eset hat im Rahmen einer neuen Studie die Tätigkeiten von APT-Banden untersucht. Demnach haben mit Russland verbundene Hackergruppen wie Sandworm, Gamaredon, Turla oder InvisiMole weiterhin die Ukraine als Primärziel. Der Bericht umfasst den Zeitraum von Mai bis August 2022.

Die Forscher stellten fest, dass russische Angreifer oft den Messengerdienst Telegram missbraucht haben, um auf Command-and-Control Server zuzugreifen, oder um sensible Informationen durchsickern zu lassen. "APT-Akteure aus anderen Regionen versuchten ebenfalls, Zugang zu ukrainischen Organisationen zu bekommen, sowohl für Cyberspionage als auch für den Diebstahl von geistigem Eigentum", fügt Jan-Ian Boutin, Direktor von ESET Threat Research, hinzu.

Luftfahrt- und Rüstungsindustrie weiterhin im Visier von nordkoreanischen Hackern

Zudem ergab die Untersuchung, dass die Luftfahrt- und Rüstungsindustrie nach wie vor von großem Interesse für mit Nordkorea verbündete Gruppen sind. "Beispielsweise hatte es Lazarus auf einen Mitarbeiter eines Luft- und Raumfahrtunternehmens in den Niederlanden abgesehen", so Boutin. "Unseren Recherchen zufolge hat die Gruppe eine Schwachstelle in einem legitimen Dell-Treiber ausgenutzt, um in das Unternehmen einzudringen", ergänzt der Sicherheitsexperte. Das Eset-Research-Team geht davon aus, dass dies der erste jemals aufgezeichnete Missbrauch der Schwachstelle in freier Wildbahn ist.

Lesetipp: Security-Prognose 2023 - Kaspersky: Der nächste Angriff à la WannCry steht bevor

Kryptowährungen: weiteres Tätigkeitsfeld für nordkoreanische APT-Gruppen

Wie aus der Analyse hervorgeht, waren Finanzinstitutionen und Unternehmen, die mit Kryptowährungen arbeiten, das Ziel von Kimsuky aus Nordkorea. Zudem entdeckten die ESET-Forscher eine Angriffskampagne der Lazarus-Bande, die von den üblichen Zielen in der Luftfahrt- sowie Rüstungsindustrie abwich. Dabei wurde eine einzelne Person aus Argentinien mit einer als Jobangebot bei Coinbase getarnten Malware angegriffen. ESET entdeckte außerdem, dass die Gruppe Konni eine Technik verwendet, die in der Vergangenheit von Lazarus eingesetzt wurde - eine trojanisierte Version des Sumatra PDF Viewers.

Chinesische APT-Gruppen weiterhin aktiv

Der Report zeigt zudem, dass auch in China ansässige Gruppen weiterhin intensiv unterwegs waren. Demnach haben sie verschiedene Schwachstellen und bisher nicht gemeldete Backdoors genutzt. Nach eigenen Angaben identifizierte Eset die Linux-Variante einer Backdoor, die von SparklingGoblin gegen eine Universität in Hongkong eingesetzt wurde. "Dieselbe Gruppe nutzte in einem anderen Fall eine Confluence-Schwachstelle, um ein Unternehmen der Lebensmittelindustrie in Deutschland und ein Ingenieurbüro in den USA anzugreifen", heißt es im Bericht.

Die Forscher vermuten außerdem, dass eine ManageEngine ADSelfService Plus-Schwachstelle hinter der Kompromittierung eines US-Rüstungsunternehmens steckt. Dessen Systeme seien nur zwei Tage nach der Veröffentlichung der Schwachstelle angegriffen worden. In Japan identifizierte das Research Team mehrere Kampagnen der Gruppe Mirrorface, von denen eine in direktem Zusammenhang mit den Wahlen zum Oberhaus des Parlaments stand.

Iranische APT-Gruppen haben Israel im Fokus

Die wachsende Zahl von APT-Gruppen, die mit dem Iran in Verbindung stehen, konzentrierten ihre Bemühungen laut Bericht weiterhin hauptsächlich auf verschiedene israelische Branchen. Die Eset-Forscher konnten eine Aktion, die auf ein Dutzend Organisationen abzielte, POLONIUM zuordnen und mehrere bisher nicht dokumentierte Backdoors identifizieren. Die Agrius-Gruppe habe es hingegen besonders auf Unternehmen und Einrichtungen, die in der Diamantenindustrie in Südafrika, Hongkong und Israel tätig sind oder mit ihr in Verbindung stehen, abgesehen , so die Security-Experten. Sie gehen davon aus, dass es sich dabei um einen Angriff auf die Lieferkette handelt, bei dem eine israelische Software missbraucht wird, die in diesem Bereich eingesetzt wird.

Lesetipp: Microsoft-Analyse -Iranische Hackerbande nutzt BitLocker für Ransomware-Attacken

Bei einer anderen Kampagne in Israel wurden Hinweise auf mögliche Überschneidungen bei der Nutzung von Tools zwischen den Gruppen MuddyWater und APT35 gefunden. Zudem entdeckten die Sicherheitsforscher eine neue Android-Malware, die in einer von der APT-C-50-Gruppe durchgeführten Kampagne verwendet wurde. Die Schadsoftware sei von einem Nachahmer einer iranischen Website verbreitet worden und verfüge über begrenzte Spionagefunktionen.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.