Proofpoint, ein Next-Generation Cybersecurity- und Compliance-Unternehmen, hat eine Cyberkampagne identifiziert, bei der eine mutmaßlich aus China stammende Hackergruppe eine neue Malware-Familie eingesetzt hat. Die Attacken richteten sich unter anderem gegen diplomatische Vertretungen und politische Gremien europäischer Länder.
Neben den bekannten ökonomischen und gesellschaftlichen Auswirkungen hat das Coronavirus auch Einfluss auf die Cyberbedrohungslandschaft. Vor allem Social-Engineering-Köder, die einen Bezug zur COVID-19-Pandemie hatten, prägten dabei die erste Jahreshälfte 2020. Untersuchungen dazu haben ergeben, dass mehrere chinesische Hackergruppen in den letzten Monaten Phishing-Köder mit COVID-19-Bezug eingesetzt haben, um bereits bekannte, aber auch neue Ziele auszuspionieren.
Bereits im März 2020 konnten die Security-Experten von Proofpoint eine Phishing-Kampagne beobachten, bei der als Köder eine angebliche Anleitung der Weltgesundheitsorganisation (WHO) zur Vorbereitung auf COVID-19 verbreitet wurde. Die Hintermänner der Kampagne nutzten dabei eine neue Malware-Familie, die die Sicherheitsforscher „Sepulcher“ tauften. Bei Sepulcher handelt es sich um einen einfachen Remote Access Trojaner (RAT), der Informationen über die Ressourcen des infizierten Systems sammeln kann, eine Reverse-CMD-Shell erzeugen sowie Dateien lesen und schreiben kann. Ziel der Cyberkampagne waren diplomatische Vertretungen und politische Gremien mehrerer europäischer Länder, gemeinnützige Organisationen, die sich der politischen Forschung verschrieben haben, und weltweit tätige Organisationen, die sich mit ökonomischen Fragestellungen befassen.
Bei der Analyse der Kampagne vom März dieses Jahres konnte eine Absender-E-Mail-Adresse identifiziert werden, die schon in der Vergangenheit in Verbindung mit einer chinesischen Hackergruppe in Erscheinung getreten war. Die Adresse kam zuvor bei einer Kampagne zum Einsatz, bei der die internationale tibetische Community mit der Malware LuckyCat attackiert wurde.
Im Juli 2020 beobachteten die Experten von Proofpoint eine weitere Phishing-Kampagne, die sich diesmal an tibetische Dissidenten richtete. Hierbei wurde derselbe Stamm der Sepulcher-Malware verwendet, wie er bereits im März beobachtet werden konnte.
Auf Basis dieser und weiterer Erkenntnisse war es Proofpoint möglich, die beschriebenen Kampagnen der Hackergruppe (Threat Actor) TA413 zuzuordnen. Diese Gruppe ist dafür bekannt, Cyberkampagnen gegen im Exil lebende Mitglieder der tibetischen Minderheit in China auszuführen. Sie wird zudem mit dem chinesischen Staatsapparat in Verbindung gebracht, da ihre Aktivitäten Überschneidungen mit den Interessen Chinas aufweisen.
www.proofpoint.com/de