Forscher der Cybersicherheitsanbieter Recorded Future und Insikt Group haben eine Hacking-Kampagne aufgedeckt, die sich offenbar gegen den Energiesektor in Europa richtet. Ziel ist es, vertrauliche Informationen zu sammeln. Die Hintermänner sollen Verbindungen zum Iran haben.
Obwohl es sich um Open-Source-Software handelt, wird PupyRAT vor allem mit Hacking-Aktivitäten in Verbindung gebracht, die von der iranischen Regierung unterstützt werden. Dazu gehören auch Kampagnen einer als APT33 bezeichneten Gruppe, die schon früher gegen den Energiesektor vorgegangen ist.
Die neue Malware soll im Zeitraum zwischen November 2019 und Anfang Januar 2020 zum Einsatz gekommen sein. Die Kampagne begann also noch vor der Eskalation der Streitigkeiten zwischen den USA und Iran.
Wie genau die Hacker die fragliche Organisation infiziert haben, konnte bisher noch nicht ermittelt werden. Die Forscher gehen aber davon aus, dass die Malware per Spear-Phishing eingeschleust wurde. Aufgefallen ist der Angriff bei der Analyse von Netzwerk-Traffic mit einem Befehlsserver im Internet, der schon früher von PupyRAT genutzt wurde.
„Nach unserer Einschätzung auf der Grundlage des beobachteten Verkehrs war dies wahrscheinlich eine Aufklärungsmission“, sagte Priscilla Moriuchi, Direktorin für strategische Bedrohungsentwicklung bei Recorded Future. „Unser Gefühl ist, dass angesichts der Netzwerkaktivitäten, die wir sehen, der Zugang zu dieser Art von vertraulichen Informationen über die Energiezuteilung und die Ressourcenbeschaffung für Gegner enorm wertvoll wäre.“
Das betroffene Unternehmen wurde von Recorded Future über den Angriff informiert. Mithilfe des Sicherheitsanbieters wurde der Angriff zudem beendet.
Recorded Future rät Unternehmen im Energiesektor, alle Zugänge zum Netzwerk mit einer Zwei-Faktor-Authentifizierung zu schützen. Passwörter sollten zudem komplex sein und nicht für mehrere Systeme benutzt werden. Auch eine Überwachung von Anmeldeversuchen können Hinweise auf verdächtige Aktivitäten liefern. Hacker versuchten oft, sich per Brute-Force-Angriff Zugang zu verschaffen, was an mehreren Anmeldeversuchen von einer IP-Adresse mit unterschiedlichen Konten zu erkennen sei.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Es erlaubt das Einschleusen und Ausführen von beliebigem Code. Dem Entdecker der Chrome-Lücke zahlt Google…
Schwachstellen betreffen Linux-Umgebungen und können zur Ausführung von schädlichem Code führen.
Während der US-Markt um 5,6 Prozent wächst, bricht der Absatz in China um 10 Prozent…
Mit der wachsenden Verbreitung digitaler Technologien haben auch die Bedrohungen im Internet in den letzten…
Von fünf Zero-Day-Lücken werden zwei bereits von Hackern eingesetzt. Insgesamt bringt der Oktober-Patchday Fixes für…
KI-Bots scrapen durchs Netz, sammeln Inhalte, um KI-Modelle wie Chat GPT zu füttern. Lässt sich…