All Stories
Follow
Subscribe to ESET Deutschland GmbH

ESET Deutschland GmbH

Iranische Hackergruppe spioniert Unternehmen aus

Jena (ots)

Die aus Iran stammende und höchst gefährliche Hackergruppe Ballistic Bobcat greift seit September 2021 Organisationen verschiedener Branchen in mehreren Ländern an. Der Großteil der 34 betroffenen Betriebe befindet sich in Israel, aber auch in Brasilien und den Vereinigten Arabischen Emiraten. Das Ziel der Kriminellen: wertvolle Daten in den Bereichen Industrie, Finanzen, Medien, Gesundheitswesen und Telekommunikation zu kapern. Sie greifen dabei auf eine neue Backdoor namens Sponsor zurück, die das Team um ESET-Forscher Adam Burgher entdeckt hat.

Wie Ballistic Bobcat vorgeht

Das Vorgehen der Hackergruppe dient als Paradebeispiel, warum Unternehmen dringend ein Schwachstellenmanagement einsetzen sollten. Denn Ballistic Bobcat fuhr eine sogenannte "Scan-Exploit-Kampagne", bei der automatisiert Unternehmen im Internet auf ungepatchte Schwachstellen hin analysiert werden. In diesem Fall war es die seit längerem bekannte Sicherheitslücke CVE-2021-26855 in Microsoft Exchange Servern. War diese Lücke in Organisationen offen, hatten Hacker einen Fuß in der Tür und konnten weitere Schadsoftware installieren. Wie die ESET Telemetrie zeigt, ist diese bereits seit September 2021 im Einsatz.

Adam Burgher geht davon aus, dass es sich nicht um eine gezielte Kampagne, sondern um einen breit gestreuten Angriff handelt. Bei den Opfern gibt es außer der Sicherheitslücke nämlich kaum Gemeinsamkeiten. Einige Organisationen besaßen zudem nicht einmal lohnende Informationen für Hacker.

Auch interessant: Bei knapp der Hälfte der betroffenen Unternehmen war Ballistic Bobcat nicht der einzige Angreifer im Netzwerk. ESET fand Hinweise, dass weitere Hackergruppen zuvor die Schwachstelle für ihre Zwecke ausnutzten.

"Ballistic Bobcat verwendet ein vielfältiges, quelloffenes Toolset. Dazu zählt eine Reihe von benutzerdefinierten Anwendungen, darunter auch Sponsor. Unternehmen sind gut beraten, alle Geräte mit Internetzugang zu patchen und auf neue Anwendungen zu achten, die in ihren Unternehmen auftauchen", rät Burgher.

Hackergruppe ist schon länger aktiv

Ballistic Bobcat, auch bekannt als APT35/APT42 ("Charming Kitten" oder PHOSPHORUS), hatte es in der Vergangenheit auf Bildungs-, Regierungs- und Gesundheitsorganisationen sowie auf Menschenrechtsaktivisten und Journalisten abgesehen. Während der Pandemie gerieten vor allem Organisationen ins Fadenkreuz, die mit COVID-19 zu tun hatten, darunter die Weltgesundheitsorganisation und Gilead Pharmaceuticals sowie Mitarbeiter in der medizinischen Forschung.

Weitere technische Informationen über Ballistic Bobcat und seine Sponsoring-Access-Kampagne finden Sie in dem Blogpost "Sponsor mit Schnurrhaaren: Ballistic Bobcats Scan- und Strike-Backdoor" auf WeLiveSecurity. Mehr Informationen zum Thema Patch-Management lesen Sie in unserem Blog "Die Renaissance des Patch-Managements".

Pressekontakt:

ESET Deutschland GmbH

Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
christian.lueg@eset.de

Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte@eset.de

Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
Philipp.plum@eset.de


Folgen Sie ESET:
http://www.ESET.de

ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland

Original content of: ESET Deutschland GmbH, transmitted by news aktuell

More stories: ESET Deutschland GmbH
More stories: ESET Deutschland GmbH
  • 22.08.2023 – 15:33

    Hackergruppe verbreitet Ransomware in Europa

    Jena (ots) - Die Hackergruppe CosmicBeetle greift weltweit Organisationen an, vor allem europäische. Die Gruppe verwendet das Toolset Spacecolon, um Ransomware unter ihren Opfern zu verbreiten und Lösegeld zu erpressen. Dafür nutzt sie die ZeroLogon-Schwachstelle bei Webservern aus. Alternativ greifen die Hacker auf klassische Bruteforce-Angriffe auf RDP-Zugangsdaten zurück, um in Organisationen einzudringen. ...

  • 17.08.2023 – 11:35

    ESET deckt laufende Phishing-Kampagne auf

    Jena (ots) - KMUs sowie Regierungsbehörden stehen derzeit im Fokus einer Phishing-Kampagne. ESET Forscher haben entdeckt, dass Nutzer der Software Zimbra betroffen sind. Zimbra ist ein sogenanntes Collaboration-Tool mit denen E-Mails, Kontakte, Kalender und Aufgabenlisten verwaltet werden können. Die Angreifer haben es gezielt auf Anmeldedaten für die Software abgesehen. Die Kampagne ist seit mindestens April 2023 ...