{"id":24879,"date":"2020-08-14T10:35:15","date_gmt":"2020-08-14T08:35:15","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24879"},"modified":"2020-08-14T10:35:15","modified_gmt":"2020-08-14T08:35:15","slug":"kaspersky-entdeckt-zielgerichtete-spionage-kampagne-gegen-finanz-und-militarorganisationen","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/kaspersky-entdeckt-zielgerichtete-spionage-kampagne-gegen-finanz-und-militarorganisationen\/24879\/","title":{"rendered":"Kaspersky entdeckt zielgerichtete Spionage-Kampagne gegen Finanz- und Milit\u00e4rorganisationen"},"content":{"rendered":"

Mithilfe der Kaspersky Threat Attribution Engine<\/a> konnten Kaspersky-Forscher mehr als 300 Samples der Backdoor Bisonal mit einer Kampagne der Cyberspionage-Gruppe CactusPete in Verbindung bringen. Diese j\u00fcngste Kampagne der APT-Gruppe konzentriert sich auf milit\u00e4rische und finanzielle Ziele in Osteuropa. Wie die verwendete Backdoor auf die Ger\u00e4te der Opfer kommt, ist noch unklar.<\/p>\n

Bei CactusPete, auch bekannt als Karma Panda oder Tonto Tea\u044c, handelt es sich um eine Cyberspionage-Gruppe, die seit mindestens 2012 aktiv ist. Ihre derzeit eingesetzte Backdoor hat Vertreter des Milit\u00e4r- und Finanzsektors in Osteuropa im Visier, um wahrscheinlich Zugang zu vertraulichen Informationen zu erhalten.<\/p>\n

Diese j\u00fcngsten Aktivit\u00e4ten der Gruppe wurden von Kaspersky-Forschern erstmals im Februar 2020 bemerkt, als sie eine aktualisierte Version der Bisonal-Backdoor entdeckten. Mithilfe der Kaspersky Threat Attribution Engine \u2013 einem Analyse-Tool, um \u00c4hnlichkeiten in Schadcodes von bekannten Bedrohungsakteuren zu finden \u2013 konnte die Backdoor mit mehr als 300 weiteren, \u201ein the wild\u201c gefundenen Samples in Verbindung gebracht werden. Alle Samples wurden zwischen M\u00e4rz 2019 und April 2020 entdeckt, etwa 20 Samples pro Monat. Das l\u00e4sst darauf schlie\u00dfen, dass sich CactusPete schnell entwickelt. So hat die Gruppe auch ihre F\u00e4higkeiten weiter verfeinert und dieses Jahr sich Zugang zu komplexerem Code wie ShadowPad verschafft.<\/p>\n

Die Funktionalit\u00e4t des sch\u00e4dlichen Payloads l\u00e4sst darauf schlie\u00dfen, dass die Gruppe auf der Suche nach hochsensiblen Informationen ist. Nach der Backdoor-Installation auf dem Ger\u00e4t des Opfers kann die Gruppe \u00fcber Bisonal verschiedene Programme unbemerkt starten, Prozesse beenden, Dateien hochladen, herunterladen oder l\u00f6schen und eine Liste der verf\u00fcgbaren Laufwerke abrufen. Sobald die Angreifer tiefer in das infizierte System vorgedrungen sind, kommt ein Keylogger zum Einsatz, um Anmeldeinformationen zu sammeln und Malware herunterzuladen, die Berechtigungen und somit schrittweise mehr Kontrolle \u00fcber das System erm\u00f6glicht.<\/p>\n

Es ist noch unklar, wie die Backdoor in dieser Kampagne auf das Ger\u00e4t gelangt. In der Vergangenheit hat CactusPete jedoch \u00fcberwiegend auf Spear-Phishing-Mails gesetzt, die sch\u00e4dliche Anh\u00e4nge enthalten, um Ger\u00e4te zu infizieren.<\/p>\n

\u201eCactusPete ist eine interessante APT-Gruppe, weil sie eigentlich nicht so fortgeschritten ist, auch nicht ihre Bisonal-Backdoor,\u201c sagt Konstantin Zykov, Sicherheitsexperte bei Kaspersky. \u201eIhr Erfolg beruht nicht auf komplexer Technologie oder ausgekl\u00fcgelten Verteilungs- und Verschleierungstaktiken, sondern auf erfolgreichem Social-Engineering. Sie schaffen es, hochrangige Ziele zu infizieren, indem ihre Opfer sch\u00e4dliche Anh\u00e4nge in Phishing-Mails \u00f6ffnen. Dies ist ein gutes Beispiel daf\u00fcr, warum Phishing weiterhin eine so effektive Methode zum Starten von Cyber-Angriffen ist und warum es f\u00fcr Unternehmen so wichtig ist, ihre Mitarbeiter darin zu schulen, wie sie solche E-Mails erkennen und wie sie mittels Threat Intelligence \u00fcber die neueste Bedrohung auf dem Laufenden bleiben k\u00f6nnen.\u201c<\/p>\n

Kaspersky-Empfehlungen zum Schutz vor APTs<\/p>\n