News

Bericht über Cyberspionage als Köder

Das auf den Schutz vor zielgerichteten Cyberattacken spezialisierte Unternehmen Mandiant warnt vor schädlichen Versendungen, die als Element von Spear-Phishing-Attacken den Text der neuesten Mandiant-Veröffentlichung über chinesische Hacker verwenden.

Der Mitte Februar von Mandiant veröffentlichte Bericht enthält Beweise für eine Verbindung zwischen einer der aktivsten Hackergruppen und einer Spezialeinheit der chinesischen Volksbefreiungsarmee. Die Experten versichern, dass diese Gruppe von chinesischen Hackern im Laufe vieler Jahre Cyberspionage betrieben und hunderte Terrabyte vertraulicher Informationen von 140 ausländischen Organisationen gestohlen hat. In dem Artikel wird auf über 3.000 Besonderheiten der Hacks verwiesen, die die Autorenschaft dieser Gruppe nahezu eindeutig belegen.

Nach Aussage der Experten wird diese detaillierte Untersuchung, die rege Diskussionen hervorgerufen hat und das offizielle China einmal mehr dazu zwingt, den Verdacht von Spionagetätigkeit im Internet mit Empörung von sich zu weisen, nun von Cyberkriminellen als Köder genutzt. Eine der von Symantec entdeckten schädlichen Mitteilungen wurde im Namen eines Medienvertreters verfasst und enthält die Empfehlung, sich mit den Erkenntnissen von Mandiant vertraut zu machen. Das – übrigens äußerst fehlerhafte – Schreiben wurde von der Adresse eines kostenlosen E-Mail-Anbieters verschickt und enthielt einen pdf-Anhang, der den Namen des Autors der Studie enthält. Beim Start dieser Datei wird dem Anwender die Originalseite des Berichts mit Inhaltverzeichnis angezeigt, während im Hintergrund ein Exploit aktiviert wird, das ausschließlich die gepatchte Sicherheitslücke CVE-2013-0641 im Adobe Reader/Acrobat angreift. Im Erfolgsfall wird auf dem Rechner des Opfers ein Downloader installiert, der andere Schaddateien von einem Server lädt, der sich laut Seculert in Korea befindet.

Eine andere bösartige pdf-Datei, die als neuster Bericht von Mandiant getarnt ist, wurde von dem unabhängigen Experten Brandon Dixon entdeckt. Diese Datei ist passwortgeschützt und zeigt bei Aktivierung das gesamte Originaldokument an und startet im System gleichzeitig den neuen Prozess AdobeArm.tmp. Nach Angaben von Dixon handelt es sich bei der Payload dieser pdf-Datei um ein wohl bekanntes Exploit zu der Sicherheitslücke CVE-2011-2462 im Adobe Reader/Acrobat. Bei der Verarbeitung des Exploits wird auf dem Zielrechner ein Backdoor installiert, der seine Befehle von einem C&C einer Domain erhält, die bereits aus Attacken aus dem Vorjahr gegen Bürgerrechtler bekannt ist. Nach Angaben von Seculert sind die Spam-Versendungen mit diesem bösartigen Anhang an chinesische Journalisten adressiert.

Mandiant führt inzwischen eigene Untersuchungen durch, um die Autoren der schädlichen Versendungen ausfindig zu machen, und hat bereits Gerüchte über den Hack der eigenen Ressourcen dementiert. Um Unannehmlichkeiten zu vermeiden, wird den Anwendern empfohlen, die Berichte des Unternehmens aus der ursprünglichen Quelle zu laden. Auf der Website von Mandiant wurden zudem Hashes veröffentlicht, mit deren Hilfe man sich von der Sicherheit des Downloads überzeugen kann.

Quelle:

Bericht über Cyberspionage als Köder

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach