{"id":23551,"date":"2020-04-02T12:00:35","date_gmt":"2020-04-02T10:00:35","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=23551"},"modified":"2020-04-02T12:08:45","modified_gmt":"2020-04-02T10:08:45","slug":"holy-water-apt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/holy-water-apt\/23551\/","title":{"rendered":"APT Holy Water greift Nutzer in Asien an"},"content":{"rendered":"

Ende 2019 deckten unsere Experten mithilfe der Watering Hole Technik<\/a> einen zielgerichteten Angriff auf, bei dem die Angreifer \u2013 ohne raffinierte Tricks \u2013 Benutzerger\u00e4te in Asien \u00fcber einen Zeitraum von mindestens acht Monaten infizierten. Basierend auf den Inhalten der Websites, auf denen die Malware verbreitet wurde, wurde der Angriff auf den Namen Holy Water (dt. Weihwasser<\/em>) getauft. Dies ist bereits der zweite Angriff, den wir wir innerhalb der letzten Monate entdeckt haben, der solche Taktiken einsetzt. (Hier<\/a> finden Sie den anderen Fund unserer Forscher.)<\/p>\n

Wie hat Holy Water Benutzerger\u00e4te infiziert?<\/h2>\n

Es scheint, als h\u00e4tten die Angreifer einen Server kompromittiert, auf dem Webseiten gehostet werden, die haupts\u00e4chlich religi\u00f6sen Pers\u00f6nlichkeiten, \u00f6ffentlichen Organisationen und Wohlt\u00e4tigkeitsorganisationen geh\u00f6ren. Die Cyberkriminellen haben sch\u00e4dliche Skripte in den Quellcode dieser Seiten eingebettet, die dann zur Durchf\u00fchrung der Angriffe verwendet wurden.<\/p>\n

Wenn ein Nutzer dann eine infizierte Seite besuchte, verwendeten die Skripte absolut legitime Tools, um Daten \u00fcber sie zu sammeln und diese dann zur \u00dcberpr\u00fcfung an einen Drittanbieterserver weiterzuleiten. Wir wissen nicht, wie die Opfer ausgew\u00e4hlt wurden, aber als Antwort auf die erhaltenen Informationen hat der Server, wenn das Ziel vielversprechend war, einen Befehl gesendet, um den Angriff fortzusetzen.<\/p>\n

Der n\u00e4chste Schritt umfasste einen Standardtrick (der seit mehr als einem Jahrzehnt verwendet wird): Der Benutzer wurde aufgefordert, den angeblich veralteten Adobe Flash Player zu aktualisieren. Fiel der Nutzer auf die Falle herein, wurde anstelle des versprochenen Updates die Backdoor Godlike12 auf dem Computer installiert.<\/p>\n

Die Gefahr von Godlike12<\/h2>\n

Die K\u00f6pfe hinter dem Angriff nutzten legitime Dienste aktiv, sowohl zum Profiling von Opfern als auch zum Speichern des Schadcodes (die Backdoor wurde auf GitHub zitiert). \u00dcber Google Drive kommunizierte Godlike12 mit den C & C-Servern.<\/p>\n

Die Backdoor hat eine ID in Google Drive abgespeichert und diese regelm\u00e4\u00dfig aufgerufen, um nach Befehlen der Angreifer zu suchen. Dort wurden auch die Ergebnisse solcher Befehlsausf\u00fchrungen hochgeladen. Laut unseren Experten bezweckte man mit diesem Angriff das Sammeln von Informationen kompromittierter Ger\u00e4te.<\/p>\n

F\u00fcr diejenigen, die an den technischen Details und den verwendeten Tools interessiert sind, k\u00f6nnen auf Securelist einen Beitrag<\/a> zu Holy Water lesen, in dem auch die Kompromittierungsindikatoren (IoC) aufgef\u00fchrt sind.<\/p>\n

Wie Sie sich sch\u00fctzen k\u00f6nnen<\/h2>\n

Bisher haben wir Holy Water nur in Asien gesehen. Die in der Kampagne verwendeten Tools sind jedoch recht einfach und k\u00f6nnen problemlos an anderer Stelle bereitgestellt werden. Wir empfehlen daher allen Benutzern, diese Empfehlungen unabh\u00e4ngig von ihrem Standort ernst zu nehmen.<\/p>\n

Wir k\u00f6nnen nicht sagen, ob der Angriff gegen bestimmte Personen oder Organisationen gerichtet ist. Eines ist jedoch sicher: Jeder kann die infizierten Websites sowohl von zu Hause als auch von der Arbeit aus besuchen. Daher raten wir, jedes Ger\u00e4t mit Internetzugang zu sch\u00fctzen. Wir bieten Sicherheitsl\u00f6sungen f\u00fcr heimische PCs<\/a>\u00a0und Firmenrechner<\/a>\u00a0an. Unsere Produkte erkennen und blockieren alle Angriffstechniken und Angrifftools, die die Entwickler von Holy Water verwenden.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Angreifer infizieren die Computer der Opfer mit einer Backdoor, die sich als Adobe Flash Player-Update ausgibt.<\/p>\n","protected":false},"author":700,"featured_media":23552,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[522,3535,778],"class_list":{"0":"post-23551","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-apt","9":"tag-gezielter-angriff","10":"tag-watering-hole"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/holy-water-apt\/23551\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/holy-water-apt\/19986\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/holy-water-apt\/16266\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/holy-water-apt\/21323\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/holy-water-apt\/19567\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/holy-water-apt\/18311\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/holy-water-apt\/22296\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/holy-water-apt\/21203\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/holy-water-apt\/27912\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/holy-water-apt\/8032\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/holy-water-apt\/34552\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/holy-water-apt\/14564\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/holy-water-apt\/14665\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/holy-water-apt\/13254\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/holy-water-apt\/25238\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/holy-water-apt\/21959\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/holy-water-apt\/27182\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/holy-water-apt\/27020\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/23551","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=23551"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/23551\/revisions"}],"predecessor-version":[{"id":23565,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/23551\/revisions\/23565"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/23552"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=23551"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=23551"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=23551"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}