{"id":15959,"date":"2018-02-21T20:37:00","date_gmt":"2018-02-21T18:37:00","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=15959"},"modified":"2018-09-18T14:50:38","modified_gmt":"2018-09-18T12:50:38","slug":"sofacy-2017-update","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/sofacy-2017-update\/15959\/","title":{"rendered":"APT Sofacy nun auch im Nahen Osten und Asien pr\u00e4sent"},"content":{"rendered":"

Wir bei Kaspersky Lab haben es uns zum Ziel gesetzt, jegliche Arten von Bedrohungsakteuren, von denen einige auch international bekannt sind, zu verfolgen, zu melden und Schutz vor ihnen zu bieten. F\u00fcr uns spielt es keine Rolle, welche Sprache ein Bedrohungsakteur spricht; unsere Pflicht ist es mehr \u00fcber ihn zu erfahren, ihn zu untersuchen und unsere Kunden vor ihm zu sch\u00fctzen.
\n\"\"<\/a><\/p>\n

Einer der aktivsten Bedrohungsakteure ist Sofacy<\/a>; ein russischsprachiger APT der insbesondere f\u00fcr seine Spear-Phishing-Kampagnen und Cyberspionage-Aktivit\u00e4ten ber\u00fcchtigt ist und ebenfalls unter den Namen APT28, Fancy Bear und Zar Team bekannt ist. 2017 \u00e4nderte Sofacy seine Vorgehensweise, die einer Erw\u00e4hnung in diesem Beitrag wert ist.<\/span><\/p>\n

Seit 2011 steht Sofacy bereits unter unserer Beobachtung; daher sind wir sehr vertraut mit den Mitteln, Methoden und Taktiken, die der Bedrohungsakteur nutzt. Die wichtigste Ver\u00e4nderung im vergangenen Jahr war, dass Sofacy im zweiten Quartal 2017 \u00fcber die NATO-L\u00e4nder hinaus (in denen der APT zu Beginn des Jahres aktiv Spear Phishing betrieb) auch im Nahen Osten und Asien sein Unwesen trieb. Zuvor hatte Sofacy es zudem auf die Olympischen Spiele, die Welt-Anti-Doping-Agentur (WADA) und den<\/span> Internationalen Sportgerichtshof (CAS) abgesehen.<\/span><\/p>\n

APT #Sofacy nun auch im Nahen Osten und Asien pr\u00e4sent.<\/p>Tweet<\/a><\/blockquote>\n

Sofacy verwendet verschiedene Tools f\u00fcr verschiedene Zielprofile. Eine Kampagne namens Dealer\u2019s Choice Anfang 2017 richtete sich beispielsweise haupts\u00e4chlich an milit\u00e4rische und diplomatische Organisationen (haupts\u00e4chlich in NATO-L\u00e4ndern und der Ukraine); sp\u00e4ter setzten die Hacker zudem zwei andere Tools ein, die wir Zebrocy und SPLM nennen, um Unternehmen unterschiedlicher Profile, darunter auch wissenschaftliche und technische Zentren sowie Pressedienste anzupeilen. Sowohl Zebrocy als auch SPLM wurden letztes Jahr stark modifiziert.<\/span><\/p>\n

Das \u00fcbliche Infektionsschema beginnt mit einer Spear-Phishing-Mail, die eine Datei mit einem Skript enth\u00e4lt, das die Nutzdaten herunterl\u00e4dt. Sofacy ist daf\u00fcr bekannt, Zero-Day-Schwachstellen zu finden, auszunutzen und diese Exploits f\u00fcr die \u00dcbermittlung der Nutzdaten zu verwenden. Der Bedrohungsakteur beh\u00e4lt ein hohes Ma\u00df an operativer Sicherheit bei und konzentriert sich darauf, die Malware schwer erkenntlich zu machen \u2013 das wiederum erschwert die Untersuchung.<\/span><\/p>\n

Im Falle von hoch entwickelten zielgerichteten Kampagnen wie Sofacy ist eine gr\u00fcndliche Untersuchung des Vorfalls unerl\u00e4sslich. So kann herausgefunden werden, auf welche Informationen Kriminelle es abgesehen haben und welche Motive hinter der Attacke stecken.<\/span><\/p>\n

Weitere Informationen zu den Aktivit\u00e4ten des Bedrohungsakteurs im Jahr 2017, einschlie\u00dflich technischer Details, finden Sie auf Securelist<\/a>. Anfang 2018 haben unsere Forscher zudem einige interessante Ver\u00e4nderungen im Verhalten von Sofacy feststellen k\u00f6nnen, die wir auf dem SAS 2018<\/a> (Security Analyst Summit) vorstellen werden; wenn Sie selbst nicht an unserem Gipfel teilnehmen k\u00f6nnen, vergessen Sie nicht regelm\u00e4\u00dfig auf unserem Daily Blog vorbeizuschauen.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Diese Ver\u00e4nderungen durchlief der russischsprachige APT Sofacy im Jahr 2017<\/p>\n","protected":false},"author":696,"featured_media":15963,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,1848,6,3108],"tags":[2780,522,2892,2891,2779,2868],"class_list":{"0":"post-15959","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-news","10":"category-smb","11":"tag-thesas2018","12":"tag-apt","13":"tag-bedrohungsakteur","14":"tag-fancy-bear","15":"tag-sas-2018","16":"tag-sofacy"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sofacy-2017-update\/15959\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sofacy-2017-update\/12595\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sofacy-2017-update\/10437\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sofacy-2017-update\/14734\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sofacy-2017-update\/13049\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sofacy-2017-update\/12508\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sofacy-2017-update\/15380\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sofacy-2017-update\/15104\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sofacy-2017-update\/19737\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sofacy-2017-update\/21227\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/sofacy-2017-update\/9378\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sofacy-2017-update\/19671\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sofacy-2017-update\/19661\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sofacy-2017-update\/19678\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15959","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=15959"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15959\/revisions"}],"predecessor-version":[{"id":16002,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15959\/revisions\/16002"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/15963"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=15959"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=15959"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=15959"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}