Neue Malware aus dem Umfeld der Solarwinds-Hacker

9. Dezember 2021, 15:05
image

Der Sicherheitsforscher Mandiant hat weitere Hackergruppen ausgemacht, die Nobelium zuzuordnen sind. Sie nutzen neuartige Malware.

Analysen der Security-Experten von Mandiant zeigen, dass Cloud- und Managed-Services-Anbieter in den Fokus von Cyberkriminellen geraten sind, die mit "erstklassiger" Technik arbeitet. Wahrscheinlich stünden die Hackergruppen in Verbindung mit der russischen Regierung und hätten mit dem Angriff auf die Lieferkette von Solarwinds im letzten Jahr zu tun gehabt, heisst es von Mandiant.
Jedenfalls erlaube die Kompromittierung der Umgebung eines einzelnen Cloud-Service-Anbieters dem Angreifer möglicherweise den Zugriff auf die Netzwerke mehrerer Organisationen, die Kunden dieses Anbieters seien, wie man bei Mandiant gegenüber 'ZDnet' ausführte. So fokussierten die Angreifer auf eine kleine Anzahl von Organisationen, könnten jedoch hohe Gewinne erzielen.
Aufgespürt habe man die Aktivitäten, weil man seit der Entdeckung der Attacke auf die Solarwinds-Lieferkette die Akteure verfolge, schreibt Mandiant. Demnach handelt es sich um 2 als UNC3004 und UNC2652 bezeichnete Hackergruppen. Beide stünden in Verbindung mit der Gruppe UNC2452, die von Microsoft als Nobelium bezeichnet wird.
Allerdings ist unklar, ob die Gruppen tatsächlich zusammengehören. Klar ist laut den Security-Experten nur, dass jede dieser Hackerorganisationen von Russland aus arbeitet und ähnliche Ziele zu verfolgen scheint. Ermittelt haben sie zudem, dass die Kriminellen weiterhin innovativ sind, also neue Techniken und Vorgehensweisen entwickeln, um sich dauerhaft Zugang zu den Umgebungen potenzieller Opfer zu verschaffen. Ausserdem wird Wert darauf gelegt, die Entdeckung der Angriffe wie ihre Zuordnung zu erschweren.
Konkret sollen in den jüngsten Angriffen beispielsweise auf einen speziell entwickelten Malware-Downloader gesetzt worden sein, den die Forscher Ceeloader nennen. Während die Malware Nutzerdaten entschlüssle, die im Speicher eines Windows-Rechners ausgeführt werden und die Verbreitung weiterer Malware ermögliche, sorge ein Verschleierungstool dafür, den Code im Ceeloader zu verstecken, so die Forscher. Noch sei unbekannt, wie letzterer verbreitet werde, aber es handle sich um ein unauffälliges Tor für bösartige Aktivitäten.
Zu den weiteren Taktiken der Angreifer gehöre der Missbrauch von legitimen Tools für Penetrationstests oder der Rückgriff auf Keylogger zum Stehlen von Benutzernamen und Passwörtern. Ausserdem habe man wie bei anderen Hacking-Kampagnen, die mit Russland in Verbindung gebracht werden, Angriffe auf die Anmeldedaten für das Remote-Desktop-Protokoll festgestellt.
Zur Opfergruppe führten die Security-Experten gegenüber 'ZDnet' aus, dass die Angreifer "letztlich Regierungsstellen, Beratungsorganisationen und Nichtregierungsorganisationen in Nordamerika und Europa im Visier haben, die direkt über Daten verfügen, die für die russische Regierung von Interesse sind".

Loading

Mehr zum Thema

image

APIs bei Twitter werden kostenpflichtig

Schon in weniger als einer Woche werden Entwicklerinnen und Entwickler zur Kasse gebeten. Ein Preismodell gibts noch nicht.

publiziert am 3.2.2023
image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

DXC hofft auf Turnaround im kommenden Jahr

Der Umsatz des IT-Dienstleisters ist im abgelaufenen Quartal erheblich geschrumpft. Im nächsten Geschäftsjahr soll es aber wieder aufwärts gehen, sagt der CEO.

publiziert am 2.2.2023