Der Sicherheitsanbieter Group-IB warnt vor einer neuen Russisch sprechenden Hackergruppe, die sich seit rund drei Jahren auf Industriespionage spezialisiert haben soll. Die Aktivitäten der RedCurl genannten Gruppe verfolgen die Forscher bereits seit Sommer 2019. Sie machen die Cyberkriminellen für insgesamt 26 Angriffe gegen 14 Organisationen in 6 Ländern verantwortlich, darunter Deutschland.
Statt auf ausgefeilte Hacking-Tools setzen die Hacker der Analyse zufolge auch Spear-Phishing, um sich Zugang zu einem Netzwerk eines Opfers zu verschaffen. „Die Besonderheit von RedCurl ist, dass der E-Mail-Inhalt sorgfältig verfasst ist“, sagten die Forscher. „Zum Beispiel zeigten die E-Mails die Adresse und das Logo der Zielfirma, während die Absenderadresse den Domainnamen der Firma enthielt.“
Oftmals hätten sich die Angreifer als Mitarbeiter der Personalabteilung ausgegeben und Nachrichten an mehrere Beschäftigte eines Unternehmens verschickt. Das habe den Phishing-Angriff weniger verdächtig gemacht, vor allem, wenn die Empfänger in einer Abteilung arbeiteten.
Die E-Mails wiederum enthielten Links zu mit Malware verseuchten Dateien, die die Opfer herunterladen sollten. Wurden die Dateien tatsächlich geöffnet, setzten sie mehrerer auf PowerShell basierende Trojaner frei.
Diese Trojaner fanden die Forscher bisher nur bei RedCurl-Angriffen. Sie erlaubten es den Hackern, die befallenen Systeme zu durchsuchen und weitere Schadsoftware herunterzuladen. Der Upload von Dateien auf von den Hackern kontrollierte Server gehörte ebenfalls zum Funktionsumfang. Allerdings nutzten die Hacker dafür das nur selten eingesetzte WebDAV-Protokoll.
Darüber hinaus versuchten die Hacker, weitere Systeme im Netzwerk zu infizieren. Unter anderem ersetzten sie Dateien auf Netzwerkfreigaben durch Verknüpfungen, die zur Schadsoftware statt den eigentlichen Dateien führten. „Die Phase der Ausbreitung über das Netzwerk wird mit der Zeit deutlich verlängert, da die Gruppe bestrebt ist, so lange wie möglich unbemerkt zu bleiben und keine aktiven Trojaner einsetzt, die ihre Präsenz aufdecken könnten“, ergänzten die Forscher.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
