{"id":30625,"date":"2023-11-02T15:10:45","date_gmt":"2023-11-02T13:10:45","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30625"},"modified":"2023-11-02T15:10:45","modified_gmt":"2023-11-02T13:10:45","slug":"sas-2023-research","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/sas-2023-research\/30625\/","title":{"rendered":"Security Analyst Summit 2023: zentrale Forschungsergebnisse"},"content":{"rendered":"<p>Auf der internationalen Konferenz Security Analyst Summit, haben die Experten unseres Kaspersky <em>Global Research and Analysis Team<\/em> (GReAT) einige sehr interessante Forschungsergebnisse pr\u00e4sentiert. Auf jedes einzelne dieser Ergebnisse m\u00f6chten wir in diesem Beitrag nicht detailliert eingehen, aber dennoch die relevantesten Fakten kurz skizzieren.<\/p>\n<h2>Spyware-Plattform <em>StripedFly<\/em><\/h2>\n<p>Fast schon eine Detektivgeschichte \u00fcber eine Malware, die einst als regul\u00e4rer Monero-Krypto-Miner entdeckt wurde, bei der es sich in Wirklichkeit aber um eine komplexe Modular-Bedrohung handelt, die sowohl Windows- als auch Linux-Systeme infizieren kann. Die StripedFly-Module k\u00f6nnen Informationen von einem Computer entwenden, Screenshots erstellen, Audioaufnahmen \u00fcber ein Mikrofon t\u00e4tigen und WLAN-Passw\u00f6rter abfangen. Die Malware ist jedoch nicht nur zu Spionagezwecken geeignet, sondern verf\u00fcgt zudem \u00fcber Module, die als Ransomware und zum Sch\u00fcrfen von Kryptow\u00e4hrung eingesetzt werden k\u00f6nnen.<\/p>\n<p>Besonders interessant ist die Tatsache, dass die Bedrohung \u00fcber den Exploit EthernalBlue verbreitet werden kann, obwohl dieser Vektor bereits im Jahr 2017 gepatcht wurde. Zudem kann StripedFly gestohlene Schl\u00fcssel und Passw\u00f6rter nutzen, um Linux- und Windows-Systeme, auf denen ein SSH-Server l\u00e4uft, zu infizieren. Eine detaillierte Studie mit Kompromittierungs-Indikatoren finden Sie auf <a href=\"https:\/\/securelist.com\/stripedfly-perennially-flying-under-the-radar\/110903\/\" target=\"_blank\" rel=\"noopener\">unserem Securelist-Blog<\/a>.<\/p>\n<h2>Details zur \u201eOperation Triangulation\u201c<\/h2>\n<p>Ein weiterer Bericht des Security Analyst Summit war der finalen Untersuchung der Operation <em>Triangulation<\/em> gewidmet; eine Malware, die auch unsere Mitarbeiter ins Visier genommen hatte. Eine detaillierte Analyse der Bedrohung erm\u00f6glichte es unseren Experten, f\u00fcnf Schwachstellen im iOS-System ausfindig zu machen, die von diesem Bedrohungsakteur ausgenutzt wurden. Vier davon (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2023-32434\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-32434<\/a>,\u00a0<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2023-32435\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-32435<\/a>,\u00a0<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2023-38606\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-38606<\/a>\u00a0und\u00a0<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2023-41990\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-41990<\/a>) waren Zero-Day-Schwachstellen. Sie betrafen nicht nur das iPhone, sondern auch iPod, iPad, macOS, Apple TV und Apple Watch. Zudem stellte sich heraus, dass Angreifer Ger\u00e4te \u00fcber iMessage nicht nur infizieren, sondern auch den Safari-Browser angreifen konnten. <a href=\"https:\/\/securelist.com\/operation-triangulation-catching-wild-triangle\/110916\/\" target=\"_blank\" rel=\"noopener\">Hier<\/a> erfahren Sie, wie unsere Experten diese Bedrohung analysiert haben.<\/p>\n<h2>Neue Lazarus-Kampagne<\/h2>\n<p>Der dritte Bericht unserer GReAT-Experten galt neuen Angriffen der Lazarus-Gruppe, die mittlerweile auf Software-Entwickler abzielt (von denen einige bereits mehrfach angegriffen wurden) und aktiv Supply-Chain-Angriffe einsetzt.<\/p>\n<p>\u00dcber Schwachstellen in legitimer Software zur Verschl\u00fcsselung der Web-Kommunikation infiziert Lazarus das System und wendet ein neues SIGNBT-Implantat an, dessen Hauptteil gr\u00f6\u00dftenteils im Speicher arbeitet. Es dient dazu, das Opfer genauer zu studieren (Netzwerkeinstellungen, Namen von Prozessen und Nutzern herauszufinden) und zus\u00e4tzliche sch\u00e4dliche Nutzlast auszuf\u00fchren. Insbesondere l\u00e4dt es eine verbesserte Version der bereits bekannten LPEClient-Backdoor herunter, die ebenfalls im Speicher l\u00e4uft und die dann wiederum Malware ausf\u00fchrt, die dazu bef\u00e4higt ist, Anmeldedaten oder sonstige andere Daten zu entwenden. Technische Details \u00fcber die neuen Tools der APT-Gruppe Lazarus sowie Kompromittierungs-Indikatoren finden Sie auf <a href=\"https:\/\/securelist.com\/unveiling-lazarus-new-campaign\/110888\/\" target=\"_blank\" rel=\"noopener\">unserem Securelist-Blog<\/a>.<\/p>\n<h2>TetrisPhantom-Angriff<\/h2>\n<p>Zus\u00e4tzlich gaben die Experten Details bez\u00fcglich des TetrisPhantom-Angriffs preis, der auf Regierungsbeh\u00f6rden innerhalb der APAC-Region abzielt(e). TetrisPhantom setzt auf die Kompromittierung diverser USB-Laufwerke, die Hardware-Verschl\u00fcsslung anbieten und \u00fcblicherweise von Regierungsorganisationen verwendet werden. W\u00e4hrend der Untersuchung dieser Bedrohung identifizierten Experten eine ganze Spionage-Kampagne, die eine Reihe sch\u00e4dlicher Module einsetzt, um Befehle auszuf\u00fchren, Daten und Informationen kompromittierter Computer zu sammeln und diese dann auf andere Rechner zu \u00fcbertragen, die ebenfalls sichere USB-Laufwerke verwenden. Einige Details \u00fcber diese Kampagne finden Sie in unserem <a href=\"https:\/\/securelist.com\/apt-trends-report-q3-2023\/110752\/\" target=\"_blank\" rel=\"noopener\">Quartalsbericht \u00fcber APT-Bedrohungen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vier der wichtigsten Studien, die unsere Experten auf der internationalen Konferenz SAS 2023 vorgestellt haben. <\/p>\n","protected":false},"author":2706,"featured_media":30626,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107],"tags":[4104,522,1246,1332],"class_list":{"0":"post-30625","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-thesas2023","10":"tag-apt","11":"tag-forschung","12":"tag-sas"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sas-2023-research\/30625\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sas-2023-research\/26558\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sas-2023-research\/21984\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sas-2023-research\/29254\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sas-2023-research\/26841\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sas-2023-research\/26796\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sas-2023-research\/29282\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sas-2023-research\/28156\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sas-2023-research\/36474\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sas-2023-research\/49448\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sas-2023-research\/21136\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sas-2023-research\/21926\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sas-2023-research\/34946\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sas-2023-research\/27124\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sas-2023-research\/32837\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sas-2023-research\/32485\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30625","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=30625"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30625\/revisions"}],"predecessor-version":[{"id":30633,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30625\/revisions\/30633"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/30626"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=30625"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=30625"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=30625"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}