{"id":19002,"date":"2019-04-10T11:36:31","date_gmt":"2019-04-10T09:36:31","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=19002"},"modified":"2022-05-05T14:17:56","modified_gmt":"2022-05-05T12:17:56","slug":"gaza-cybergang","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/gaza-cybergang\/19002\/","title":{"rendered":"Das steckt hinter der Kampagne „SneakyPastes“ der Gaza-Cybergang"},"content":{"rendered":"

Bei unserem Kaspersky Security Analyst Summit (SAS) geht es traditionell um APT-Angriffe<\/a>; aus diesem Grund haben wir dort in vorigen Jahren auch erstmals Informationen \u00fcber Slingshot<\/a>, Carbanak<\/a> und Careto<\/a> ver\u00f6ffentlicht. Zielgerichtete Angriffe erleben in den letzten Jahren einen absoluten H\u00f6henflug und auch dieses Jahr ist hier keine Ausnahme: Deshalb z\u00e4hlte die kriminelle APT-Gruppe Gaza-Cybergang auf dem SAS 2019 in Singapur zu einem unserer Gespr\u00e4chsthemen.<\/p>\n

Scharf bewaffnet<\/h2>\n

Die Gaza-Cybergang spezialisiert sich auf Cyberspionage und zeigt haupts\u00e4chliches Interesse an der Nahostregion sowie L\u00e4ndern in Zentralasien. Im Mittelpunkt stehen hier vor allem Botschaften,\u00a0Regierungsstellen, Medien und Journalisten, Aktivisten, politische Parteien und Einzelpersonen sowie Bildungseinrichtungen, Banken,\u00a0Gesundheitsorganisationen und Vertragsunternehmen.<\/p>\n

Unter Einsatz unterschiedlicher Werkzeuge und Techniken legen die Kriminellen bei ihren Angriffen besonderen Fokus auf die\u00a0pal\u00e4stinensischen Gebiete, Jordanien, Israel\u00a0und den Libanon.<\/p>\n

Innerhalb der Cybergang selbst konnten unsere Experten drei weitere Gruppen identifizieren \u2013 zwei dieser Gruppen haben wir bereits auf unserem Blog behandelt: Zu ihnen geh\u00f6ren die beiden fortschrittlichen Einheiten Desert Falcons<\/a> und Operation Parliament<\/a>.<\/p>\n

Die seit mindestens 2012 bekannte dritte Gruppe, MoleRATs, ist mit vergleichsweise simplen Tools ausgestattet, was ihre Operation SneakyPastes (abgeleitet von der starken Nutzung von Paste-Sites durch die Angreifer) allerdings nicht weniger gef\u00e4hrlich macht.<\/p>\n

SneakyPastes<\/h3>\n

Die Kampagne ist mehrstufig. Sie beginnt mit Phishing-Angriffen, die \u00fcber einmalig nutzbare E-Mail-Adressen und Domains verbreitet werden. In einigen F\u00e4llen enthalten die Nachrichten b\u00f6sartige Links oder Anh\u00e4nge; f\u00fchrt das Opfer die angeh\u00e4ngte Datei aus (oder \u00f6ffnet den beigef\u00fcgten Link), wird das Ger\u00e4t mit Malware, die zur Aktivierung der Infektionskette dient, infiziert.<\/p>\n

Die E-Mails, die die Wachsamkeit des Empf\u00e4ngers au\u00dfer Gefecht setzen sollen, sind meist politisch motiviert. Sie enthalten entweder Berichte \u00fcber politische Verhandlungen oder die Adressen glaubw\u00fcrdiger Organisationen.<\/p>\n

Sobald die Malware der ersten Stufe ihren Weg sicher auf den Computer gefunden hat, versucht sie einer Erkennung zu entgehen und den Standort des\u00a0Command-and-Control-Servers zu verbergen.<\/p>\n

F\u00fcr nachfolgende Angriffsstadien und f\u00fcr die Kommunikation mit dem Command-Server verwenden die Kriminellen frei verf\u00fcgbare Dienste wie pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com und pomf.cat. Um die extrahierten Informationen schnellstm\u00f6glich zu \u00fcbermitteln, verwenden sie f\u00fcr gew\u00f6hnlich mehrere Methoden gleichzeitig.<\/p>\n

Abschlie\u00dfend wird das Ger\u00e4t mit RAT-Malware<\/a> infiziert, die leistungsstarke Funktionen bietet; so kann sie beispielsweise Dateien kostenlos herunter- und hochladen, Anwendungen ausf\u00fchren, nach Dokumenten suchen und Informationen verschl\u00fcsseln.<\/p>\n

Die Malware scannt den Computer des Opfers auf alle verf\u00fcgbaren PDF-, DOC-, DOCX- und XLSX-Dateien, speichert diese in tempor\u00e4ren Dateiordnern, klassifiziert, archiviert und verschl\u00fcsselt sie und sendet sie anschlie\u00dfend per Domainkette an einen Command-Server.<\/p>\n

Tats\u00e4chlich konnten wir feststellen, dass bei dieser Art des Angriffs unterschiedliche Werkzeuge verwendet wurden. Weitere technische Details und Informationen finden Sie in diesem Beitrag auf Securelist<\/a>.<\/p>\n

Integrierter Schutz<\/h3>\n

Unsere Produkte sind daf\u00fcr ausgelegt, die in der SneakyPastes-Kampagne verwendeten Komponenten erfolgreich zu bek\u00e4mpfen. Folgende Tipps m\u00f6chten wir Ihnen dennoch mit auf den Weg geben:<\/p>\n