Forscher des Sicherheitsanbieters Eset haben eine neue Hacking-Kampagne aufgedeckt, die das Außenministerium eines EU-Mitgliedstaats zu ihren Opfern zählt. Dabei kommt eine neue Crutch genannte Schadsoftware zum Einsatz. Sie stiehlt vertrauliche Dokumente und andere Dateien, indem sie sie auf von den Angreifern kontrollierte Dropbox-Konten hochlädt.
Crutch wiederum soll für Angriffe auf bestimmte Ziele entwickelt worden sein. Außer der Information, dass es sich um ein Außenministerium eines EU-Mitglieds handelt, hielt Eset bisher alle Details zu möglichen Opfern zurück. Das Ministerium soll allerdings zur allgemeinen Ausrichtung von Turla passen.
Zum Einsatz kommt Crutch der Analyse zufolge erst, nachdem das Netzwerk eines Opfers bereits kompromittiert wurde, beispielsweise über einen Spear-Phishing-Angriff. Crutch richte sich als Backdoor ein und kommuniziere mit einem bereits festgelegten Dropbox-Konto. Den Online-Speicherdienst hätten die Hacker gewählt, um beim Upload von Dateien keinen ungewöhnlichen oder auffälligen Netzwerk-Traffic zu generieren und einer Erkennung zu entgehen.
Eset fand außerdem heraus, dass Crutch im Lauf der Jahre mehrfach aktualisiert wurde. „Die wichtigste böswillige Aktivität ist die Exfiltration von Dokumenten und anderen sensiblen Dateien. Die Raffinesse der Angriffe und die technischen Details der Entdeckung bestätigen die Einschätzung, dass die Turla-Gruppe über beträchtliche Ressourcen verfügt, um ein so großes und vielfältiges Arsenal zu betreiben“, sagte Matthieu Faou, Malware-Forscher bei Eset.
Eine Nachlässigkeit bei den Opfern half den Hackern zudem, ihre Schadsoftware in einem kompromittierten Netzwerk zu verbreiten. „Während der Untersuchung stellten wir fest, dass Angreifer in der Lage waren, sich seitlich zu bewegen und zusätzliche Rechner zu kompromittieren, indem sie Admin-Passwörter wiederverwendeten“, ergänzte Faou. „Ich glaube, dass eine Beschränkung der Bewegungsmöglichkeiten das Leben der Angreifer erheblich erschweren würde. Das bedeutet, dass Benutzer daran gehindert werden, als Admin zu agieren, indem bei Admin-Konten eine Zwei-Faktor-Authentifizierung und einzigartige und komplexe Passwörter verwendet werden.“
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…
Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…
Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…
Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…
Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.
Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…