Startseite > Security > EU im Visier chinesischer und russischer Angreifer

Aktueller APT-Report von Eset

EU im Visier chinesischer und russischer Angreifer

11. Mai 2023, 12:00 Uhr | Wilhelm Greiner

Man muss kein Verschwörungstheoretiker, Aluhut-Träger oder Flacherdler sein, um den Verdacht zu hegen, dass europäische Institutionen im Visier wohlorganisierter Cyberangreifer-Gruppierungen (Advanced Persistent Threats, APTs) aus dem nicht ganz so eng befreundeten Ausland sein könnten. In der Tat berichten die Sicherheitsexperten des Security-Anbieters Eset in ihrem neuen APT-Report von zunehmenden Angriffen auf EU-Staaten und -Organisationen durch Gruppierungen mit Verbindungen nach China, Nordkorea und Russland.

So versuchte laut Eset-Erkenntnissen zum Beispiel die Lazarus-Gruppe, eine dem nordkoreanischen Regime zugeordnete Angreifergruppierung, mit gefälschten Jobangeboten des Luftfahrtunternehmens Boeing Zugangsdaten von Beschäftigten eines polnischen Rüstungsunternehmens zu stehlen. Ähnlich agierte die Gruppe in Indien und wandte sich mit einem Accenture-Köder an ein Daten-Management-Unternehmen.

Eset identifizierte außerdem eine Linux-Malware, die in einer der Kampagnen Verwendung fand. Ähnlichkeiten mit dieser neu entdeckten Malware untermauern die Theorie, dass die berüchtigte, mit Nordkorea verbündete Gruppe hinter dem Lieferkettenangriff auf die 3CX Desktop App steht.

Im Rahmen des Ukrainekriegs seien zudem – wenig überraschend – auch russische APT-Gruppen weiterhin sehr aktiv, verstärkt setze man hier auf Wiper (also zerstörerische Malware). Mit Russland verbündete APT-Gruppen waren laut dem Eset-Report vor allem in der Ukraine und in EU-Ländern aktiv: Sandworm setzte Wiper ein, darunter einen neuen, den Eset SwiftSlicer nennt. Gamaredon, Sednit und die Dukes nutzten Spearphishing-E-Mails. Im Falle der Dukes kam es zur Ausführung eines als Brute Ratel bekannten Red-Team-Implantats. Schließlich stellte Eset fest, dass die Zimbra-E-Mail-Plattform auch Ziel von Winter Vivern war, einer Gruppe, die vor allem in Europa aktiv ist.

Auch Ke3chang and Mustang Panda, Akteure mit Verbindungen nach China, haben laut Eset europäische Unternehmen attackiert. Die mit China verbündete Gruppe Ke3chang setzte laut Eset-Angaben auf neue Methoden wie den Einsatz einer neuen Ketrican-Variante. Mustang Panda wiederum habe zwei neue Backdoors verwendet.

Die ebenfalls chinesischsprachige APT-Gruppe MirrorFace nahm hingegen Japan ins Visier und setzte neue Methoden zur Verbreitung von Malware ein, so Eset. Im Zuge der Operation ChattyGoblin nahm die Gruppe den Support-Mitarbeiter eines Glücksspielunternehmens auf den Philippinen ins Visier, um die Firma zu kompromittieren.

APTs sind allerdings ein durchaus globales Business. Eset nennt zwei Beispiele: Die mit Indien verbündeten Gruppen SideWinder und Donot Team nahmen weiterhin Regierungseinrichtungen in Südasien ins Visier. SideWinder habe auf den Bildungssektor in China abgezielt, Donot Team das berüchtigte yty-Framework weiterentwickelt, aber auch das kommerziell erhältliche Remcos RAT (Remote Access Trojan) eingesetzt, so der Security-Anbieter aus Bratislava.

Kurz: Die APT-typische Melange aus staatsnahem Hacking, Wirtschaftsspionage und Cybercrime kommt rund um den Globus zum Einsatz. Der Aluhut kann also bis zum nächsten Fasching im Schrank bleiben.