Verwendung neuer Malware-Familie

Cyberkampagne gegen diplomatische Vertretungen europäischer Länder

Proofpoint, ein Next-Generation Cybersecurity- und Compliance-Unternehmen, hat eine Cyberkampagne identifiziert, bei der eine mutmaßlich aus China stammende Hackergruppe eine neue Malware-Familie eingesetzt hat. Die Attacken richteten sich unter anderem gegen diplomatische Vertretungen und politische Gremien europäischer Länder.

Neben den bekannten ökonomischen und gesellschaftlichen Auswirkungen hat das Coronavirus auch Einfluss auf die Cyberbedrohungslandschaft. Vor allem Social-Engineering-Köder, die einen Bezug zur COVID-19-Pandemie hatten, prägten dabei die erste Jahreshälfte 2020. Untersuchungen dazu haben ergeben, dass mehrere chinesische Hackergruppen in den letzten Monaten Phishing-Köder mit COVID-19-Bezug eingesetzt haben, um bereits bekannte, aber auch neue Ziele auszuspionieren.

Anzeige

Bereits im März 2020 konnten die Security-Experten von Proofpoint eine Phishing-Kampagne beobachten, bei der als Köder eine angebliche Anleitung der Weltgesundheitsorganisation (WHO) zur Vorbereitung auf COVID-19 verbreitet wurde. Die Hintermänner der Kampagne nutzten dabei eine neue Malware-Familie, die die Sicherheitsforscher „Sepulcher“ tauften. Bei Sepulcher handelt es sich um einen einfachen Remote Access Trojaner (RAT), der Informationen über die Ressourcen des infizierten Systems sammeln kann, eine Reverse-CMD-Shell erzeugen sowie Dateien lesen und schreiben kann. Ziel der Cyberkampagne waren diplomatische Vertretungen und politische Gremien mehrerer europäischer Länder, gemeinnützige Organisationen, die sich der politischen Forschung verschrieben haben, und weltweit tätige Organisationen, die sich mit ökonomischen Fragestellungen befassen.

Bei der Analyse der Kampagne vom März dieses Jahres konnte eine Absender-E-Mail-Adresse identifiziert werden, die schon in der Vergangenheit in Verbindung mit einer chinesischen Hackergruppe in Erscheinung getreten war. Die Adresse kam zuvor bei einer Kampagne zum Einsatz, bei der die internationale tibetische Community mit der Malware LuckyCat attackiert wurde.

Im Juli 2020 beobachteten die Experten von Proofpoint eine weitere Phishing-Kampagne, die sich diesmal an tibetische Dissidenten richtete. Hierbei wurde derselbe Stamm der Sepulcher-Malware verwendet, wie er bereits im März beobachtet werden konnte.

Anzeige

Auf Basis dieser und weiterer Erkenntnisse war es Proofpoint möglich, die beschriebenen Kampagnen der Hackergruppe (Threat Actor) TA413 zuzuordnen. Diese Gruppe ist dafür bekannt, Cyberkampagnen gegen im Exil lebende Mitglieder der tibetischen Minderheit in China auszuführen.  Sie wird zudem mit dem chinesischen Staatsapparat in Verbindung gebracht, da ihre Aktivitäten Überschneidungen mit den Interessen Chinas aufweisen.

www.proofpoint.com/de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.