Forscher des Sicherheitsanbieters Eset haben eine neue Hacking-Kampagne aufgedeckt, die das Außenministerium eines EU-Mitgliedstaats zu ihren Opfern zählt. Dabei kommt eine neue Crutch genannte Schadsoftware zum Einsatz. Sie stiehlt vertrauliche Dokumente und andere Dateien, indem sie sie auf von den Angreifern kontrollierte Dropbox-Konten hochlädt.
Crutch wiederum soll für Angriffe auf bestimmte Ziele entwickelt worden sein. Außer der Information, dass es sich um ein Außenministerium eines EU-Mitglieds handelt, hielt Eset bisher alle Details zu möglichen Opfern zurück. Das Ministerium soll allerdings zur allgemeinen Ausrichtung von Turla passen.
Zum Einsatz kommt Crutch der Analyse zufolge erst, nachdem das Netzwerk eines Opfers bereits kompromittiert wurde, beispielsweise über einen Spear-Phishing-Angriff. Crutch richte sich als Backdoor ein und kommuniziere mit einem bereits festgelegten Dropbox-Konto. Den Online-Speicherdienst hätten die Hacker gewählt, um beim Upload von Dateien keinen ungewöhnlichen oder auffälligen Netzwerk-Traffic zu generieren und einer Erkennung zu entgehen.
Eset fand außerdem heraus, dass Crutch im Lauf der Jahre mehrfach aktualisiert wurde. „Die wichtigste böswillige Aktivität ist die Exfiltration von Dokumenten und anderen sensiblen Dateien. Die Raffinesse der Angriffe und die technischen Details der Entdeckung bestätigen die Einschätzung, dass die Turla-Gruppe über beträchtliche Ressourcen verfügt, um ein so großes und vielfältiges Arsenal zu betreiben“, sagte Matthieu Faou, Malware-Forscher bei Eset.
Eine Nachlässigkeit bei den Opfern half den Hackern zudem, ihre Schadsoftware in einem kompromittierten Netzwerk zu verbreiten. „Während der Untersuchung stellten wir fest, dass Angreifer in der Lage waren, sich seitlich zu bewegen und zusätzliche Rechner zu kompromittieren, indem sie Admin-Passwörter wiederverwendeten“, ergänzte Faou. „Ich glaube, dass eine Beschränkung der Bewegungsmöglichkeiten das Leben der Angreifer erheblich erschweren würde. Das bedeutet, dass Benutzer daran gehindert werden, als Admin zu agieren, indem bei Admin-Konten eine Zwei-Faktor-Authentifizierung und einzigartige und komplexe Passwörter verwendet werden.“
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
