Contact
QR code for the current URL

Story Box-ID: 1121887

8com GmbH & Co. KG Europastraße 32 67433 Neustadt an der Weinstraße, Germany http://www.8com.de
Contact Ms Felicitas Kraus +49 30 3030808914
Company logo of 8com GmbH & Co. KG

Nordkoreanische Hacker attackieren Ziele in der EU

Sicherheitsforscher von Securonix haben eine neue Hacking-Kampagne entdeckt, die sich gegen Ziele in mehreren EU-Ländern richtet und offenbar auf nordkoreanische Hacker zurückzuführen ist.

(PresseBox) (Neustadt an der Weinstraße, )
Forscher des Cybersicherheitsunternehmens Securonix haben eine neue Angriffskampagne gegen hochrangige Ziele in Polen, Tschechien und anderen europäischen Ländern entdeckt, die sich scheinbar auf die nordkoreanische Hackergruppe APT37 zurückführen lässt. Um welche Organisationen es sich bei den Opfern der Angriffswelle handelt, geht aus dem Bericht nicht hervor.

Die Angreifer nutzen die bekannte Malware Konni, einen Remote Access Trojaner (RAT), der dazu in der Lage ist, sich langfristig in den angegriffenen Systemen einzunisten und sich dort immer weitreichendere Rechte zu verschaffen. Konni wird schon seit 2014 mit nordkoreanischen Hackern in Verbindung gebracht und wurde erst kürzlich bei einer Spear-Phishing-Kampagne gegen das russische Außenministerium beobachtet.

Die aktuelle Kampagne, von den Entdeckern STIFF#BIZON getauft, verläuft in mehreren Stufen. Zuerst erhalten die Opfer eine E-Mail mit einem angehängten Archiv, das sowohl ein Word-Dokument (missile.docx) als auch eine Windows-Shortcut-Datei (_weapons.doc.lnk.lnk) enthält. Öffnet man die LNK-Datei, wird ein Code ausgeführt, um ein base64-codiertes PowerShell-Skript in der DOCX-Datei zu finden. Dann wird Kontakt zu einem Command-and-Control Server aufgebaut und zwei weitere Dateien namens 'weapons.doc' und 'wp.vbs' werden heruntergeladen. Bei dem heruntergeladenen Dokument handelt es sich um den vermeintlichen Bericht einer russischen Kriegsberichterstatterin namens Olga Bozheva, in Wahrheit nur ein Köder, der das Opfer dazu bringen soll, die Malware auszuführen. Gleichzeitig läuft im Hintergrund heimlich die VBS-Datei, um einen geplanten Task im System des Opfers zu erstellen.

Ist diese Stufe des Angriffs erreicht, hat Konni sich bereits weitreichende Berechtigungen verschafft. So kann der RAT Screenshots aufnehmen und diese als GZIP exfiltrieren, State Keys aus der Local-State-Datei und gespeicherte Anmeldeinformationen aus den Webbrowsern des Opfers extrahieren sowie eine Remote Interactive Shell starten, die alle zehn Sekunden einen Befehl ausführen kann.

In der vierten und letzten Stufe des Angriffs können die Angreifer weitere Dateien als komprimierte .cab-Archive herunterladen, die die Funktionen von Konni unterstützen. Darunter sind DLLs, die dann legitime Windows-Service-Bibliotheken überschreiben, wie „wpcsvc“ in System32, das zum Ausführen von Befehlen im Betriebssystem mit höheren Benutzerrechten genutzt wird.

Darüber hinaus weisen die Sicherheitsforscher in ihrem Bericht darauf hin, dass zwar viele Faktoren auf APT37 als Hintermänner der Angriffe deuten, es jedoch auch Hinweise auf APT28, auch bekannt als FancyBear, als Urheber gibt. Dazu zählen beispielsweise IP-Adresse, Hosting Provider und Hostnamen, die zuvor in Angriffswellen von FancyBear aufgetaucht sind. Das allerdings bedeutet noch nicht, dass FancyBear tatsächlich an den aktuellen Attacken beteiligt ist. Unter Hackergruppen ist es mittlerweile eine weit verbreitete Praxis, falsche Hinweise in Kampagnen zu verstecken, die auf andere Angreifer schließen lassen. So sollen Sicherheitsforscher und Strafverfolger auf eine falsche Fährte gelockt werden.

Um sich vor derartigen Angriffen zu schützen, ist es wichtig, eine Awareness für Phishing und die damit verbundenen Gefahren zu schaffen. Links und Dokumente aus unbekannten Quellen sollten unter keinen Umständen sorglos geöffnet werden. In Kombination mit einer aktuellen Sicherheitssoftware sollten so bereits viele Gefahren im Vorfeld eliminiert werden.

8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.