{"id":6967,"date":"2016-02-09T17:03:51","date_gmt":"2016-02-09T17:03:51","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=6967"},"modified":"2022-06-03T18:38:41","modified_gmt":"2022-06-03T16:38:41","slug":"poseidon-apt-boutique","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/poseidon-apt-boutique\/6967\/","title":{"rendered":"Poseidons Herrschaftsbereich"},"content":{"rendered":"

Vorbei sind die Zeiten, in der Hacker Schadprogramme nur zum eigenen Vergn\u00fcgen entwickelten. Heutzutage ist Malware nicht mehr ausschlie\u00dflich dazu da, um Computer lahmzulegen. In erster Linie soll sie ihren Entwicklern Geld einbringen. Cyberkriminalit\u00e4t ist eine Branche f\u00fcr sich mit gro\u00dfen und kleinen Akteuren. Die Experten von unserem globalen Recherche- und Analyseteam (GReAT) haben unl\u00e4ngst einen neuen Mitspieler der Cybercrime-Industrie aufgedeckt und ihm den Namen \u201ePoseidon-Gruppe\u201c gegeben. Auf dem Security Analyst Summit 2016<\/a> haben sie eine Studie \u00fcber die Gruppe pr\u00e4sentiert.<\/p>\n

Auch wenn die Studie 2016 vorgestellt wurde, ist Poseidon kein Neuling. Malwarekampagnen der Gruppe sind seit 2005 aktiv; die erste Probeversion, die gefunden wurde, reicht bis in das Jahr 2001 zur\u00fcck. Poseidons Zielgruppe sind Nutzer von Windows 95 bis 8.1 und neuerdings auch Windows-Server 2012. Die Gruppe hat es besonders auf domainbasierte Netzwerke abgesehen, die typisch f\u00fcr gro\u00dfe Unternehmen sind.<\/p>\n

https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2016\/02\/30170831\/poseidon-live-photo.jpg<\/p>\n

So schl<\/strong>\u00e4<\/strong>gt Poseidon zu<\/strong><\/p>\n

Die Angriffe wurden in aller Regel per Spear-Phishing in die Wege geleitet \u2014 einer Variante des Phishings, bei der einzelne Personen gezielt angeschrieben werden, im Gegensatz zu gro\u00df angelegten Spamkampagnen. Cyberkriminelle greifen dabei meist auf Praktiken des Social Engineering<\/a> zur\u00fcck, um die Opfer dazu zu animieren eine b\u00f6sartige E-Mail zu \u00f6ffnen.<\/p>\n

Indem das Opfer die b\u00f6sartige Datei \u2014 \u00a0in aller Regel ein schadhaftes .doc- oder .rtf-Dokument \u2014 herunterl\u00e4d, wird der Computer mit der Malware infiziert. Interessant ist, dass das Poseidon-Toolkit viele Antivirenprogramme zu erkennen scheint und sich entweder versteckt h\u00e4lt oder diese direkt attackiert.<\/p>\n

https:\/\/twitter.com\/kaspersky\/status\/695610810517872641\/photo\/1?ref_src=twsrc%5Etfw<\/p>\n

Die auf dem PC installierte Malware stellt dann eine Verbindung zu einem Command-and-Control-Server her. Die Angreifer bewegen sich im Netzwerk, sammeln Daten, setzen Zugriffsrechte zu ihrem Vorteil ein und versuchen das Netzwerk zu mappen, um den PC zu finden, nach dem sie suchen. Hauptziel ist \u00fcblicherweise der Windows-Domain-Kontrollserver, \u00fcber den sie geistiges Eigentum, Gesch\u00e4ftsgeheimnisse und andere wichtige gesch\u00e4ftliche Daten stehlen.<\/p>\n

Diese Attacken sind auf den spezifischen Fall gem\u00fcnzt. Auch wenn der erste Schritt \u00fcblicherweise der gleiche ist, passt die Gruppe in den folgenden Schritten ihr Vorgehen an das Opfer an \u2014 deshalb\u00a0sprechen die GReAT-Experten davon, dass Poseidon Malware nach Ma\u00df entwickelt. Das ist auch der Grund, warum es so lange gedauert hat, die Puzzleteile miteinander zu verbinden und zu erkennen, dass eine Vielzahl scheinbar unzusammenh\u00e4ngender Attacken offenbar von ein und derselben Gruppe ausgef\u00fchrt worden sind.<\/p>\n

https:\/\/twitter.com\/kaspersky\/status\/696700193866174464\/photo\/1?ref_src=twsrc%5Etfw<\/p>\n

Die von Poseidon gesammelten Informationen wurden dann oft dazu genutzt, um die Opfer zu erpressen und \u2014 indem sie vorgaben ein Sicherheitsanbieter zu sein \u2014 versuchten die Kriminellen die Betroffenen davon zu \u00fcberzeugen, einen Vertrag mit ihnen abzuschlie\u00dfen.\u00a0In einigen F\u00e4llen hielt das Poseidon nicht davon ab, den Angriff fortzusetzen oder eine neue Attacke auf die gleiche Firma durchzuf\u00fchren. Die Kampagne ist vermutlich nicht staatlich gef\u00f6rdert, da Poseidon sich auf wertvolle Gesch\u00e4ftsinformationen spezialisiert zu haben scheint. Wir vermuten, dass die gestohlenen Informationen in vielen F\u00e4llen an Dritte weiterverkauft wurden.<\/p>\n

Produkte von Kaspersky Lab<\/a> erkennen alle bekannten Varianten der Poseidon-Malware und f\u00fchren sie auf als Backdoor.Win32.Nhopro<\/em>, HEUR:Backdoor.Win32.Nhopro.gen<\/em> oder HEUR:Hacktool.Win32.Nhopro.gen.<\/em><\/p>\n

Poseidon entwickelt Malware nach Ma\u00df #TheSAS2016<\/p>Tweet<\/a><\/blockquote>\n

Eine Besonderheit der Poseidon-Gruppe ist, dass sie haupts\u00e4chlich portugiesischsprachige Firmen angreift oder Firmen, die Gemeinschaftsunternehmen in Brasilien haben. Es gibt allerdings auch Opfer in Frankreich, Indien, Kasachstan, Russland, den Vereinten Arabischen Emiraten und den USA.<\/p>\n

Derzeit wissen wir von etwa 35 Opfern \u2014 betroffen sind unter anderem Kreditinstitute, Regierungseinrichtungen, Energieversorger, Telekommunikationsanbieter, Produktionsunternehmen, sowie Medien- und PR-Agenturen. Da die Gruppe ihre Herangehensweise fortw\u00e4hrend modifiziert und an jedes Opfer individuell anpasst, ist es schwierig eine Poseidon-Attacke als solche zu identifizieren \u2014 die Forscher von GReAT vermuten daher, dass die Zahl der Opfer weit gr\u00f6\u00dfer ist.<\/p>\n

\n

48 hours to reveal #WhoIsPoseidon<\/a>
Come and see https:\/\/t.co\/E3RDQzlSez<\/a>
At #TheSAS2016<\/a><\/p>\n

\u2014 Dmitry Bestuzhev (@dimitribest) February 7, 2016<\/a><\/p><\/blockquote>\n