SolarWinds-Hacker zielen mit neuer Backdoor auf Denkfabriken

Cyber Security News

Microsoft hat am Donnerstag bekannt gegeben, dass der Bedrohungsakteur, der hinter dem SolarWinds-Supply-Chain-Hack steckt, in die Bedrohungslandschaft zurückgekehrt ist, um Regierungsbehörden, Denkfabriken, Berater und Nichtregierungsorganisationen in 24 Ländern, darunter auch die USA, anzugreifen.

“Diese Angriffswelle zielte auf etwa 3.000 E-Mail-Konten bei mehr als 150 verschiedenen Organisationen ab”, sagte Tom Burt, Microsofts Corporate Vice President for Customer Security and Trust. “Mindestens ein Viertel der angegriffenen Organisationen waren in der internationalen Entwicklungs-, humanitären und Menschenrechtsarbeit tätig.”

Microsoft führte die Angriffe auf den russischen Bedrohungsakteur zurück, den es als Nobelium verfolgt, sowie auf die breitere Cybersecurity-Community unter den Bezeichnungen APT29, UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (Crowdstrike) und Dark Halo (Volexity).

[Blocked Image: https://thehackernews.com/images/-VPdopHKQm-E/YHc_0fLCVlI/AAAAAAAA3w0/c2kzWXa0ALMLtjaAeSkI0cc7-FjPV3IswCLcBGAsYHQ/s728-e100/thn-728-4.png]

Die jüngste Welle in einer Reihe von Einbrüchen soll im Januar 2021 begonnen haben, bevor sie am 25. Mai eine neue Eskalationsstufe erreichte. Der Angriff nutzt einen legitimen Massenmailing-Dienst namens Constant Contact, um seine bösartigen Aktivitäten zu verschleiern und sich als USAID, eine in den USA ansässige Entwicklungsorganisation, für eine breit angelegte Phishing-Kampagne auszugeben, die Phishing-E-Mails an eine Vielzahl von Organisationen und Branchen verteilt.

[Blocked Image: https://thehackernews.com/images/-Kqca89OnZHA/YLDPv9iZshI/AAAAAAAACqk/k4ouHzcz69c07swH-6a9KPn5MiMEqeytgCLcBGAsYHQ/s728-e1000/hackers.jpg]

Diese scheinbar authentischen E-Mails enthalten einen Link, der, wenn er angeklickt wird, eine bösartige Image-Datei auf einem optischen Datenträger (“ICA-declass.iso”) liefert, um ein benutzerdefiniertes Cobalt Strike Beacon-Implantat mit dem Namen NativeZone (“Documents.dll”) zu injizieren, das mit Funktionen ausgestattet ist, um dauerhaften Zugriff aufrechtzuerhalten, laterale Bewegungen durchzuführen, Daten zu exfiltrieren und zusätzliche Malware zu installieren.

In einer anderen Variante der gezielten Angriffe experimentierte Nobelium damit, ein Profil des Zielcomputers zu erstellen, nachdem der Empfänger der E-Mail auf den Link geklickt hatte. Falls sich das zugrunde liegende Betriebssystem als iOS herausstellte, wurde das Opfer zu einem zweiten Remote-Server umgeleitet, um einen Exploit für den damaligen Zero-Day CVE-2021-1879 zu versenden. Apple adressierte den Fehler am 26. März und räumte ein, dass “dieses Problem aktiv ausgenutzt worden sein könnte”.

[Blocked Image: https://thehackernews.com/images/-VCSkL1uJd1E/YLDQPDIOPaI/AAAAAAAACqs/_v2-iFt6JOc5GNscw2QmgJTekQnK5Kr-gCLcBGAsYHQ/s728-e1000/ms-windows.jpg]

Die Cybersecurity-Firma Volexity, die die Ergebnisse bestätigte, sagte, dass die Kampagne Nichtregierungsorganisationen (NGOs), Forschungseinrichtungen, Regierungsstellen und internationale Agenturen in den USA und Europa ins Visier nahm.

Die jüngsten Angriffe sind ein weiterer Beleg für das wiederkehrende Muster der Bedrohungsakteure, für jedes Ziel eine eigene Infrastruktur und eigene Werkzeuge zu verwenden, wodurch die Angreifer ein hohes Maß an Heimlichkeit erreichen und über längere Zeiträume unentdeckt bleiben.

Die sich ständig weiterentwickelnde Technik von Nobelium ist wahrscheinlich auch eine direkte Reaktion auf den viel beachteten SolarWinds-Vorfall, was darauf hindeutet, dass die Angreifer weiterhin mit ihren Methoden experimentieren könnten, um ihre Ziele zu erreichen.

“In Verbindung mit dem Angriff auf SolarWinds wird deutlich, dass ein Teil des Spielbuchs von Nobelium darin besteht, sich Zugang zu vertrauenswürdigen Technologieanbietern zu verschaffen und deren Kunden zu infizieren”, so Burt. “Indem Nobelium Software-Updates und jetzt auch Massen-E-Mail-Anbieter huckepack nimmt, erhöht Nobelium die Wahrscheinlichkeit von Kollateralschäden bei Spionageoperationen und untergräbt das Vertrauen in das Technologie-Ökosystem.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com