Skip to main

Der Bedrohungsakteur DeathStalker hat sein ausweichendes „VileRAT“-Toolset aktualisiert, um Kryptowährungs- und Devisenwechselunternehmen anzugreifen, wie aktuelle Kaspersky-Analysen zeigen [1]. Die angegriffenen Organisationen befinden sich in Bulgarien, Zypern, Deutschland, Kuwait, Malta, den Vereinigten Arabischen Emiraten, Russland und auf den Grenadinen.

Bei DeathStalker handelt es sich um einen Hack-for-Hire-APT-Akteur, dessen Aktivitäten Kaspersky seit dem Jahr 2018 [2] verfolgt. Er hatte bisher vor allem Anwaltskanzleien und Organisationen im Finanzsektor im Visier; die Angriffe schienen weder politisch noch finanziell motiviert zu sein. Die Kaspersky-Experten glauben, dass DeathStalker als eine Art Söldnergruppe fungiert und spezialisierte Hacking- oder Financial-Intelligence-Dienste anbietet. Mitte 2020 konnte Kaspersky eine neue und hochgradig ausweichende Infektion identifizieren, die auf dem „VileRAT“-Python-Implantat basiert. Seitdem haben die Experten die Aktivitäten des Akteurs genau verfolgt und festgestellt, dass er 2022 intensiv auf Devisen- (FOREX) und Kryptowährungshandelsunternehmen in der ganzen Welt fokussiert.

VileRAT kommt üblicherweise nach einer komplizierten Infektionskette, die mit Spear-Phishing-E-Mails beginnt, zum Einsatz. In diesem Sommer nutzten die Angreifer auch Chatbots, die in die öffentlichen Websites der betroffenen Unternehmen eingebettet sind, um schädliche Dokumente zu versenden. Die DOCX-Dokumente werden häufig mit den Schlüsselwörtern „Compliance“ oder „Complaint“ (sowie dem Namen des Zielunternehmens) gekennzeichnet und geben vor, es handle sich dabei um Antworten auf vermeintliche Identifizierungsanfragen oder um Problemmeldungen.

Die VileRAT-Kampagne zeichnet sich durch die Raffinesse der verwendeten Tools und die riesige dahinterstehende, schädliche Infrastruktur (im Vergleich zu den zuvor dokumentierten DeathStalker-Aktivitäten), die zahlreichen Verschleierungstechniken, die während der gesamten Infektion verwendet werden, sowie ihre kontinuierliche und anhaltende Aktivität seit 2020 aus. Die aktuelle Kampagne zeigt, dass DeathStalker enorme Anstrengungen unternimmt, um Zugang zu seinen Zielen zu verschaffen und dann zu erhalten. Die möglichen Zielsetzungen der Angriffe reichen von Due Diligence, Vermögensabschöpfung, Unterstützung bei Rechtsstreitigkeiten oder Schiedsverfahren bis hin zur Umgehung von Sanktionen; ein direkter finanzieller Gewinn scheint weiterhin nicht Teil davon zu sein.

VileRaT zeigt kein besonderes Interesse an bestimmten Ländern; stattdessen berichten Kaspersky-Forscher von betroffenen Organisationen in Bulgarien, Zypern, Deutschland, Kuwait, Malta, den Vereinigten Arabischen Emiraten, Russland und auf den Grenadinen. Bei den identifizierten Organisationen handelt es sich um Unternehmen jeder Größe – von neu gegründeten Start-ups bis hin zu etablierten Branchenführern.

„Das Ziel von DeathStalker war schon immer, einer Entdeckung zu entkommen“, erklärt Pierre Delcher, Senior Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Die VileRAT-Kampagne brachte das Ganze aber jetzt auf ein neues Level. Hinsichtlich Komplexität und Verschleierung ist sie zweifellos die anspruchsvollste Kampagne, die wir jemals von diesem Akteur gesehen haben. Die Taktiken und Praktiken von DeathStalker sind effektiv, um leichtere Ziele anzugreifen. Diese sind möglicherweise nicht erfahren genug, um einem solchen Angriff standzuhalten, haben Sicherheit nicht zu einer der obersten Prioritäten ihrer Organisation gemacht oder interagieren häufig mit Dritten, die dies noch nicht getan haben.“

Kaspersky-Empfehlungen zum Schutz vor komplexen Angriffen wie VileRAT

  • Das SOC-Team sollte stets Zugriff auf aktuelle Threat Intelligence (TI) haben. Das Kaspersky Threat Intelligence Portal [3] ist ein zentraler Zugangspunkt für die TI des Unternehmens und bietet Daten zu Angriffen sowie Erkenntnisse, die Kaspersky in den vergangenen 20 Jahren gesammelt hat. Um Unternehmen dabei zu helfen, wirksame Abwehrmaßnahmen zu ergreifen, bietet Kaspersky den freien Zugang zu unabhängigen, ständig aktualisierten und weltweit bezogenen Informationen zu laufenden Cyberangriffen und -bedrohungen an. Der Zugang kann hier angefordert werden: https://go.kaspersky.com/uchub
  • Das Cybersicherheitsteam regelmäßig mit Experten-Trainings [4] weiterqualifizieren, damit es die neuesten zielgerichteten Bedrohungen bewältigen kann.
  • Eine umfassende EDR-Lösung wie Kaspersky Endpoint Detection and Response Expert [5] verwenden, um einen Vorfall so effektiv wie möglich zu analysieren und darauf zu reagieren.
  • Zusätzliche Sicherheitslösungen wie Kaspersky Anti Targeted Attack Platform [6] nutzen, die fortschrittliche Bedrohungen auf Netzwerkebene in einem frühen Stadium erkennen und blockieren.
  • Die gesamte Belegschaft regelmäßig schulen, beispielsweise mit Kaspersky Automated Security Awareness Platform [7], da viele zielgerichtete Angriffe mit Social-Engineering-Techniken wie Phishing beginnen.

Weitere Informationen zur VileRAT-Analyse sind verfügbar unter https://securelist.com/vilerat-deathstalkers-continuous-strike/107075/

 

[1] https://securelist.com/vilerat-deathstalkers-continuous-strike/107075/

[2] https://securelist.com/what-did-deathstalker-hide-between-two-ferns/99616/

[3] https://opentip.kaspersky.com/

[4] https://xtraining.kaspersky.com/

[5] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

[6] https://www.kaspersky.com/enterprise-security/anti-targeted-attack-platform

[7] https://asap.kaspersky.com/de


Nützliche Links:

APT-Akteur DeathStalker greift Unternehmen im Devisen- und Kryptowährungsmarkt an

Ausweichendes „VileRAT“-Toolset wird über Spear-Phishing verbreitet. Auch Unternehmen in Deutschland betroffen
Kaspersky Logo