02.10.2024 15:10 | ESET Deutschland GmbH | Netzwelt
0 00,00 0 Bewertung(en) Bewertung schreiben
0 00,00 0 Bewertung(en) Bewertung schreiben
Neue APT-Gruppe mit chinesischen Verbindungen greift thailändische Regierung an
Jena (ots) -
Forscher des IT-Sicherheitsherstellers ESET haben eine neue Advanced Persistent Threat (APT)-Gruppe namens CeranaKeeper entdeckt, die gezielt staatliche Institutionen in Thailand angreift. Im Rahmen mehrerer Kampagnen, die 2023 begannen, wurden große Mengen sensibler Daten exfiltriert. Diese Angriffe missbrauchten dabei bekannte Datei-Sharing-Dienste wie Dropbox, GitHub und OneDrive. ESET hat auf dem Security-Blog Welivesecurity.de (https://www.welivesecurity.com/de/eset-research/fleiiger-als-die-bienen-massiver-datendiebstahl-in-thailand-durch-ceranakeeper) detaillierte Informationen veröffentlicht.
Die mit China verbundenen Angreifer nutzten dabei Tools, die ursprünglich APT-Gruppe Mustang Panda zugeordnet wurden. Mit neuen Werkzeugen führte CeranaKeeper die Angriffe weiter und setzte dabei auf legitime Cloud-Dienste zur Exfiltration sensibler Dokumente. Diese neue Bedrohungsgruppe wurde von ESET als CeranaKeeper identifiziert, benannt nach dem asiatischen Honigbienen-Ableger "Apis Cerana".
Wie geschieht die Attacke?
Die Angriffe starteten mit dem Erlangen eines privilegierten Zugangs zu den Netzwerken der thailändischen Regierungsstellen. Anschließend setzten die Angreifer verschiedene speziell entwickelte Tools ein, wie das "TONESHELL"-Backdoor und ein Anmeldeinformations-Dump-Tool, um Sicherheitsprodukte zu deaktivieren und die Kontrolle über weitere Geräte im Netzwerk zu erlangen. CeranaKeeper nutzte auch einen BAT-Skript, um weitere Maschinen zu infizieren und Domain-Admin-Rechte zu erhalten.
Einer der wichtigsten Angriffswege von CeranaKeeper war die Verwendung von legitimen Plattformen wie GitHub, Dropbox und OneDrive als Teil ihrer Angriffsinfrastruktur. Der GitHub Pull-Request-Mechanismus wurde genutzt, um eine umgekehrte Shell unbemerkt zu steuern. Der Einsatz solcher legitimen Dienste machte die Erkennung und Blockierung dieser Aktivitäten äußerst schwierig.
Was war das Ergebnis?
Das primäre Ziel der Gruppe war ein massenhaften Datendiebstahl. Durch die infizierten Netzwerke wurden große Mengen an Dokumenten gesammelt und zu öffentlichen Speicherplattformen hochgeladen. Der Angriff war so ausgelegt, dass er langfristig große Datenmengen sichern konnte. In den Fällen, die von ESET untersucht wurden, konnten die Angreifer auch Systeme in der breiteren asiatischen Region, darunter Myanmar, die Philippinen, Japan und Taiwan, kompromittieren.
Wie wurden die Opfer geschädigt?
Die thailändischen Regierungsstellen waren durch den Verlust sensibler Daten erheblich geschädigt. Es wurden nicht nur Informationen aus Regierungsnetzwerken exfiltriert, sondern auch wichtige Systeme im Netzwerk manipuliert, um die Aktivitäten der Angreifer zu unterstützen. Diese Art von Angriffen schwächt die Sicherheit und Souveränität eines Staates und gefährdet wichtige Informationen, die langfristig geopolitische Auswirkungen haben können.
Wie hätte man sich schützen können?
Um sich vor derartigen Angriffen zu schützen, ist es wichtig, Sicherheitsmaßnahmen wie die Implementierung von Netzwerkanomalie-Überwachungen und Multifaktor-Authentifizierung zu ergreifen. Das Monitoring von ungewöhnlichem Datenverkehr zu Cloud-Diensten wie Dropbox oder GitHub kann helfen, verdächtige Aktivitäten frühzeitig zu erkennen. Auch das regelmäßige Patchen von Sicherheitslücken und der Einsatz von Threat-Intelligence-Lösungen können helfen, die Erkennungsfähigkeit für neuartige Bedrohungen wie CeranaKeeper zu verbessern.
Was bedeutet dies für den DACH-Raum:
Wenn CeranaKeeper weiterhin erfolgreich Daten exfiltriert, könnten ähnliche Angriffe auch in Europa stattfinden. Die Taktiken und Techniken der Hacker könnten als Vorbild für andere Cyberkriminelle oder staatlich unterstützte Gruppen dienen. Regierungen und Unternehmen in DACH müssen wachsam sein und ihre Sicherheitsmaßnahmen stärken.
Die Erkenntnisse aus den Angriffen auf Thailand können europäische Sicherheitsbehörden und Unternehmen dazu veranlassen, ihre Strategien zur Abwehr solcher Bedrohungen zu überarbeiten. Insbesondere der Einsatz legitimer Dienste wie Cloud-Speicher könnte besondere Aufmerksamkeit erfordern.
Weiterführende Links und Informationen
Weitere technische Details und Analysen zu den Angriffswerkzeugen von CeranaKeeper finden Sie im neuesten ESET Research White Paper "CeranaKeeper: A relentless, shape-shifting group targeting Thailand" auf WeLiveSecurity.com (https://www.welivesecurity.com/de/eset-research/fleiiger-als-die-bienen-massiver-datendiebstahl-in-thailand-durch-ceranakeeper).
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
christian.lueg@eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte@eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
Philipp.plum@eset.de
Folgen Sie ESET:
http://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Original-Content von: ESET Deutschland GmbH, übermittelt durch news aktuell
Forscher des IT-Sicherheitsherstellers ESET haben eine neue Advanced Persistent Threat (APT)-Gruppe namens CeranaKeeper entdeckt, die gezielt staatliche Institutionen in Thailand angreift. Im Rahmen mehrerer Kampagnen, die 2023 begannen, wurden große Mengen sensibler Daten exfiltriert. Diese Angriffe missbrauchten dabei bekannte Datei-Sharing-Dienste wie Dropbox, GitHub und OneDrive. ESET hat auf dem Security-Blog Welivesecurity.de (https://www.welivesecurity.com/de/eset-research/fleiiger-als-die-bienen-massiver-datendiebstahl-in-thailand-durch-ceranakeeper) detaillierte Informationen veröffentlicht.
Die mit China verbundenen Angreifer nutzten dabei Tools, die ursprünglich APT-Gruppe Mustang Panda zugeordnet wurden. Mit neuen Werkzeugen führte CeranaKeeper die Angriffe weiter und setzte dabei auf legitime Cloud-Dienste zur Exfiltration sensibler Dokumente. Diese neue Bedrohungsgruppe wurde von ESET als CeranaKeeper identifiziert, benannt nach dem asiatischen Honigbienen-Ableger "Apis Cerana".
Wie geschieht die Attacke?
Die Angriffe starteten mit dem Erlangen eines privilegierten Zugangs zu den Netzwerken der thailändischen Regierungsstellen. Anschließend setzten die Angreifer verschiedene speziell entwickelte Tools ein, wie das "TONESHELL"-Backdoor und ein Anmeldeinformations-Dump-Tool, um Sicherheitsprodukte zu deaktivieren und die Kontrolle über weitere Geräte im Netzwerk zu erlangen. CeranaKeeper nutzte auch einen BAT-Skript, um weitere Maschinen zu infizieren und Domain-Admin-Rechte zu erhalten.
Einer der wichtigsten Angriffswege von CeranaKeeper war die Verwendung von legitimen Plattformen wie GitHub, Dropbox und OneDrive als Teil ihrer Angriffsinfrastruktur. Der GitHub Pull-Request-Mechanismus wurde genutzt, um eine umgekehrte Shell unbemerkt zu steuern. Der Einsatz solcher legitimen Dienste machte die Erkennung und Blockierung dieser Aktivitäten äußerst schwierig.
Was war das Ergebnis?
Das primäre Ziel der Gruppe war ein massenhaften Datendiebstahl. Durch die infizierten Netzwerke wurden große Mengen an Dokumenten gesammelt und zu öffentlichen Speicherplattformen hochgeladen. Der Angriff war so ausgelegt, dass er langfristig große Datenmengen sichern konnte. In den Fällen, die von ESET untersucht wurden, konnten die Angreifer auch Systeme in der breiteren asiatischen Region, darunter Myanmar, die Philippinen, Japan und Taiwan, kompromittieren.
Wie wurden die Opfer geschädigt?
Die thailändischen Regierungsstellen waren durch den Verlust sensibler Daten erheblich geschädigt. Es wurden nicht nur Informationen aus Regierungsnetzwerken exfiltriert, sondern auch wichtige Systeme im Netzwerk manipuliert, um die Aktivitäten der Angreifer zu unterstützen. Diese Art von Angriffen schwächt die Sicherheit und Souveränität eines Staates und gefährdet wichtige Informationen, die langfristig geopolitische Auswirkungen haben können.
Wie hätte man sich schützen können?
Um sich vor derartigen Angriffen zu schützen, ist es wichtig, Sicherheitsmaßnahmen wie die Implementierung von Netzwerkanomalie-Überwachungen und Multifaktor-Authentifizierung zu ergreifen. Das Monitoring von ungewöhnlichem Datenverkehr zu Cloud-Diensten wie Dropbox oder GitHub kann helfen, verdächtige Aktivitäten frühzeitig zu erkennen. Auch das regelmäßige Patchen von Sicherheitslücken und der Einsatz von Threat-Intelligence-Lösungen können helfen, die Erkennungsfähigkeit für neuartige Bedrohungen wie CeranaKeeper zu verbessern.
Was bedeutet dies für den DACH-Raum:
Wenn CeranaKeeper weiterhin erfolgreich Daten exfiltriert, könnten ähnliche Angriffe auch in Europa stattfinden. Die Taktiken und Techniken der Hacker könnten als Vorbild für andere Cyberkriminelle oder staatlich unterstützte Gruppen dienen. Regierungen und Unternehmen in DACH müssen wachsam sein und ihre Sicherheitsmaßnahmen stärken.
Die Erkenntnisse aus den Angriffen auf Thailand können europäische Sicherheitsbehörden und Unternehmen dazu veranlassen, ihre Strategien zur Abwehr solcher Bedrohungen zu überarbeiten. Insbesondere der Einsatz legitimer Dienste wie Cloud-Speicher könnte besondere Aufmerksamkeit erfordern.
Weiterführende Links und Informationen
Weitere technische Details und Analysen zu den Angriffswerkzeugen von CeranaKeeper finden Sie im neuesten ESET Research White Paper "CeranaKeeper: A relentless, shape-shifting group targeting Thailand" auf WeLiveSecurity.com (https://www.welivesecurity.com/de/eset-research/fleiiger-als-die-bienen-massiver-datendiebstahl-in-thailand-durch-ceranakeeper).
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
christian.lueg@eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte@eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
Philipp.plum@eset.de
Folgen Sie ESET:
http://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Original-Content von: ESET Deutschland GmbH, übermittelt durch news aktuell
Schlagwörter
Computer , ITSecurity ,
Das könnte Sie auch interessieren
Flying Uwe kündigt vor 58.000 Zuschauern (Weltrekord) Oktagon Hauptkampf gegen Ediz an
Hamburg (ots) - Smilodox, eine der führenden deutschen Marken im Bereich Sportbekleidung, freut sich, die spannende Ankündigung unseres Mitgründers Flying Uwe (Uwe Schüder) zu teilen. Am vergangen...Artikel lesenStudie: Deutsche wollen sparen
Nürnberg (ots) - - Konsumneigung in der Mittelschicht besonders gering - Finanzielle Zuversicht wächst nur langsam Beim Konsum herrscht in Deutschland derzeit vor allem Zurückhaltung. 70 Proze...Artikel lesenNeues Format: ROTE NASEN Clowns auf der Erwachsenenonkologie des Evangelischen Waldkrankenhauses in Berlin
Berlin (ots) - Clowns sind doch nur etwas für Kinder! So denken wahrscheinlich die meisten Menschen. Aber können sie auch bei Erwachsenen etwas bewirken, speziell bei krebskranken Patient:innen? ROT...Artikel lesenORLEN Deutschland GmbH baut hochmodernen E-Ladepark in Elmshorn
Elmshorn (ots) - ORLEN Deutschland GmbH errichtet einen neuen E-Ladepark in Elmshorn, nahe der A23. Der moderne Ladepark mit 16 Highpower-Ladepunkten ist Teil der Unternehmensstrategie, die Elektrom...Artikel lesenSo erhöhen Handwerksbetriebe ihre Liquidität - CFO verrät 3 Tipps für eine bessere Zahlungsfähigkeit
Hannover (ots) - Viele Handwerksunternehmen kennen es nur zu gut: Während sich die Ausgaben, beispielsweise Materialkosten für anstehende Aufträge, schnell summieren, lassen geplante Einnahmen, etwa...Artikel lesenMeistgelesen
- Das Erste: "Verliebt in Kroatien" (FOTO)
- PwC: Authentifizierung per Fingerabdruck ist im Mobile Banking eine Generationenfrage
- "Ich bin wie ein vollgesaugter Schwamm!" Schafft Frank Rosin die Diät-Kehrtwende? "Rosins Fettkampf" ab 3. Januar 2019 um 20:15 Uhr bei kabel eins (FOTO)
- WAZ: Thyssenkrupp - IG Metall greift Krupp-Stiftung an
- Scharf und schärfer! Beate-Uhse.TV bleibt bei Sky - mit frischem Look und in HD (FOTO)
Meist kommentiert
- Caren Miosga / am Sonntag, 8. September 2024, um 21:45 Uhr im Ersten
- Quietschgelber Bienenfutter Automat in Fischbachtal
- Stoppt die Überfischung in der Ostsee: Deutsche Umwelthilfe und Our Fish fordern konsequente Umsetzung der wissenschaftlichen Empfehlungen für 2022
- Der Hund ist, was er isst