Meldung

APT-Kampagne gegen Ziele in Lateinamerika

ESET-Forscher haben eine noch laufende Cyberspionage-Kampagne gegen hochkarätige Ziele in Lateinamerika entdeckt. Mehr als die Hälfte der angegriffenen Computer gehört den venezolanischen Streitkräften. Auch staatliche Institutionen wie Polizei, Bildung und Außenpolitik stehen im Fokus der Kriminellen.
Rund 75 Prozent der Angriffe fanden in Venezuela statt, weitere 16 Prozent in Ecuador, wo gezielt das Militär ins Visier genommen wurde. Laut ESET [1] steckt hinter diesen Angriffen die Machete-Gruppe. Jede Woche werden Gigabytes an vertraulichen Dokumenten gestohlen. Die Kampagne ist nach wie vor aktiv, und sie findet in einer Zeit statt, in der die regionalen und internationalen Spannungen zwischen den Vereinigten Staaten und Venezuela zunehmen.

"Die Machete-Gruppe verwendet effektive Spear-Phishing-Techniken. Ihre langjährigen Cyber-Attacken, die sich auf lateinamerikanische Länder konzentrieren, haben es ihnen ermöglicht, umfassende Erkenntnisse zu sammeln und ihre Taktiken im Laufe der Jahre zu verfeinern“, erklärt ESET-Forscher Matias Porolli. "Die Angreifer filtern spezielle Dateitypen, die von Geographischen Informationssystemen (GIS) verwendet werden. Die Gruppe ist besonders an Dateien interessiert, die Navigationsrouten und militärische Koordinaten enthalten", fügt er hinzu.

Angriffe über Phishing-Mails

ESET-Forscher verfolgen eine neue Version von Machete (dem Toolset der Gruppe), die erstmals vor einem Jahr entdeckt wurde. Innerhalb von nur drei Monaten, zwischen März und Mai 2019, beobachtete ESET mehr als 50 infizierte Computer, die mit Command & Control-Servern der Cyber-Spione kommunizieren. Die Gruppe führt regelmäßig Änderungen an der Malware, ihrer Infrastruktur und ihren Spear-Phishing-Techniken durch.

Die Machete-Gruppe sendet hierzu sehr spezifische E-Mails direkt an ihre potentiellen Opfer, die sie dem jeweiligen Ziel anpassen. Um diese zu täuschen, verwenden Machete-Betreiber echte Dokumente, die sie zuvor gestohlen haben - zum Beispiel geheime militärische Unterlagen. Dazu gehören solche, die für die Kommunikation innerhalb des Militärs verwendet werden. Angreifer nutzen dies zusammen mit ihrem Wissen über militärische Umgangsformen, um sehr überzeugende Phishing-E-Mails zu erstellen.
Empfänger soll angehängte Datei öffnen

Datendiebstahl auf mehreren Wegen

Der Angriff beginnt mit einer selbstentpackenden Datei, die ein Lockdokument enthält. Wird es heruntergeladen und angeklickt, installiert sich eine Backdoor. Die Hintertür besteht aus einer Spionagekomponente, die auf unbestimmte Zeit läuft, Dokumente kopiert und verschlüsselt, Screenshots macht und Tastaturanschläge aufzeichnet. Die Persistenzkomponente läuft alle 30 Minuten und installiert dabei andere Bestandteile. Auch die Kommunikation mit den Angreifern wird alle zehn Minuten gesichert, um gestohlene Daten an den Command & Control Server zu senden. Alle Bausteine missbrauchen "Google" in ihren Dateinamen, um ihre böswillige Absicht zu verbergen.

"Die Geschäftstätigkeit der Machete-Gruppe ist stärker denn je, und unsere Untersuchung hat gezeigt, dass sie sich recht schnell, manchmal innerhalb von Wochen, entwickeln kann. Verschiedene Artefakte, die wir in Machetes Code und der zugrunde liegenden Infrastruktur gesehen haben, lassen uns glauben, dass es sich um eine spanischsprachige Gruppe handelt", erläutert Matias Porolli von ESET.
5.08.2019/dr

Tipps & Tools

Mehr Sicherheit ohne Skript [6.12.2019]

Es ist nichts Neues, dass die Sicherheit und Privatsphäre beim Surfen im Internet höchste Priorität haben. Das kostenfreie Add-on "NoScript" für Firefox und Chrome bietet die Möglichkeit, JavaScript-, Flash- und Java-Inhalte nur von vertrauenswürdigen Domänen auszuführen. In der Standardeinstellung werden auf Webseiten jegliche JavaScript-Skripte automatisch unterbunden. [mehr]

Download der Woche: FinalCrypt [3.12.2019]

In der Regel nutzen Verschlüsselungsprogramme Passwörter, um daraus einen Encryption-Key zu erzeugen. Dabei hängt die Sicherheit der Verschlüsselung von der Länge des Kennworts ab. Einen deutlich stärkeren Schutz bieten One-Time-Pads. Bei diesem als unknackbar geltenden Verfahren kommen Schlüsseldateien mindestens in der Länge der zu chiffrierenden Files zum Einsatz. Mit dem kostenfreien Tool "FinalCrypt" können Sie eine eigene Datei für den Encryption- beziehungsweise Decryption-Prozess auswählen. Hierfür lassen sich beispielsweise Fotos oder Textdokumente verwenden. [mehr]

Tracking unterbinden [8.11.2019]

Fachartikel

Darauf sollten Sie bei einem SIEM-Werkzeug achten [27.11.2019]

Um IT-Umgebungen umfassend abzusichern, verfügen Unternehmen heute über mindestens eine Firewall an jedem Punkt, an dem das Netzwerk mit dem Internet verbunden ist. Auf Workstations, auch auf Servern, kommen Lösungen zum Erkennen und Beseitigen von Malware und Viren zum Einsatz. Weitere Werkzeuge verwalten die Zugriffsberechtigungen auf interne Ressourcen. All diese Systeme sammeln und produzieren Daten, was einige Herausforderungen darstellt. Der Fachartikel erklärt, warum es sich lohnt in eine SIEM-Lösung zu investieren und was dabei zu beachten ist. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen