Alle Storys
Folgen
Keine Story von ESET Deutschland GmbH mehr verpassen.

ESET Deutschland GmbH

Neue APT-Gruppe mit chinesischen Verbindungen greift thailändische Regierung an

Jena (ots)

Forscher des IT-Sicherheitsherstellers ESET haben eine neue Advanced Persistent Threat (APT)-Gruppe namens CeranaKeeper entdeckt, die gezielt staatliche Institutionen in Thailand angreift. Im Rahmen mehrerer Kampagnen, die 2023 begannen, wurden große Mengen sensibler Daten exfiltriert. Diese Angriffe missbrauchten dabei bekannte Datei-Sharing-Dienste wie Dropbox, GitHub und OneDrive. ESET hat auf dem Security-Blog Welivesecurity.de detaillierte Informationen veröffentlicht.

Die mit China verbundenen Angreifer nutzten dabei Tools, die ursprünglich APT-Gruppe Mustang Panda zugeordnet wurden. Mit neuen Werkzeugen führte CeranaKeeper die Angriffe weiter und setzte dabei auf legitime Cloud-Dienste zur Exfiltration sensibler Dokumente. Diese neue Bedrohungsgruppe wurde von ESET als CeranaKeeper identifiziert, benannt nach dem asiatischen Honigbienen-Ableger "Apis Cerana".

Wie geschieht die Attacke?

Die Angriffe starteten mit dem Erlangen eines privilegierten Zugangs zu den Netzwerken der thailändischen Regierungsstellen. Anschließend setzten die Angreifer verschiedene speziell entwickelte Tools ein, wie das "TONESHELL"-Backdoor und ein Anmeldeinformations-Dump-Tool, um Sicherheitsprodukte zu deaktivieren und die Kontrolle über weitere Geräte im Netzwerk zu erlangen. CeranaKeeper nutzte auch einen BAT-Skript, um weitere Maschinen zu infizieren und Domain-Admin-Rechte zu erhalten.

Einer der wichtigsten Angriffswege von CeranaKeeper war die Verwendung von legitimen Plattformen wie GitHub, Dropbox und OneDrive als Teil ihrer Angriffsinfrastruktur. Der GitHub Pull-Request-Mechanismus wurde genutzt, um eine umgekehrte Shell unbemerkt zu steuern. Der Einsatz solcher legitimen Dienste machte die Erkennung und Blockierung dieser Aktivitäten äußerst schwierig.

Was war das Ergebnis?

Das primäre Ziel der Gruppe war ein massenhaften Datendiebstahl. Durch die infizierten Netzwerke wurden große Mengen an Dokumenten gesammelt und zu öffentlichen Speicherplattformen hochgeladen. Der Angriff war so ausgelegt, dass er langfristig große Datenmengen sichern konnte. In den Fällen, die von ESET untersucht wurden, konnten die Angreifer auch Systeme in der breiteren asiatischen Region, darunter Myanmar, die Philippinen, Japan und Taiwan, kompromittieren.

Wie wurden die Opfer geschädigt?

Die thailändischen Regierungsstellen waren durch den Verlust sensibler Daten erheblich geschädigt. Es wurden nicht nur Informationen aus Regierungsnetzwerken exfiltriert, sondern auch wichtige Systeme im Netzwerk manipuliert, um die Aktivitäten der Angreifer zu unterstützen. Diese Art von Angriffen schwächt die Sicherheit und Souveränität eines Staates und gefährdet wichtige Informationen, die langfristig geopolitische Auswirkungen haben können.

Wie hätte man sich schützen können?

Um sich vor derartigen Angriffen zu schützen, ist es wichtig, Sicherheitsmaßnahmen wie die Implementierung von Netzwerkanomalie-Überwachungen und Multifaktor-Authentifizierung zu ergreifen. Das Monitoring von ungewöhnlichem Datenverkehr zu Cloud-Diensten wie Dropbox oder GitHub kann helfen, verdächtige Aktivitäten frühzeitig zu erkennen. Auch das regelmäßige Patchen von Sicherheitslücken und der Einsatz von Threat-Intelligence-Lösungen können helfen, die Erkennungsfähigkeit für neuartige Bedrohungen wie CeranaKeeper zu verbessern.

Was bedeutet dies für den DACH-Raum:

Wenn CeranaKeeper weiterhin erfolgreich Daten exfiltriert, könnten ähnliche Angriffe auch in Europa stattfinden. Die Taktiken und Techniken der Hacker könnten als Vorbild für andere Cyberkriminelle oder staatlich unterstützte Gruppen dienen. Regierungen und Unternehmen in DACH müssen wachsam sein und ihre Sicherheitsmaßnahmen stärken.

Die Erkenntnisse aus den Angriffen auf Thailand können europäische Sicherheitsbehörden und Unternehmen dazu veranlassen, ihre Strategien zur Abwehr solcher Bedrohungen zu überarbeiten. Insbesondere der Einsatz legitimer Dienste wie Cloud-Speicher könnte besondere Aufmerksamkeit erfordern.

Weiterführende Links und Informationen

Weitere technische Details und Analysen zu den Angriffswerkzeugen von CeranaKeeper finden Sie im neuesten ESET Research White Paper "CeranaKeeper: A relentless, shape-shifting group targeting Thailand" auf WeLiveSecurity.com.

Pressekontakt:

ESET Deutschland GmbH

Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
christian.lueg@eset.de

Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte@eset.de

Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
Philipp.plum@eset.de


Folgen Sie ESET:
http://www.ESET.de

ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland

Original-Content von: ESET Deutschland GmbH, übermittelt durch news aktuell

Weitere Storys: ESET Deutschland GmbH
Weitere Storys: ESET Deutschland GmbH
  • 26.09.2024 – 11:22

    Hackergruppe greift Ukraine und NATO-Länder an

    Jena (ots) - Das IT-Sicherheitsunternehmen ESET hat in einer umfassenden Analyse die Aktivitäten der russischen Hackergruppe Gamaredon untersucht, die derzeit die größte Bedrohung für die Ukraine im Cyberraum darstellt. Im Zuge der Forschung wurde auch entdeckt, dass NATO-Ländern wie Bulgarien, Lettland, Litauen und Polen angegriffen wurden - allerdings erfolglos. Garmaredon arbeitet nach Einschätzung der ESET ...

  • 17.09.2024 – 13:01

    Lieber schlecht kopiert als schlecht selbst gemacht?

    Jena (ots) - Forscher des IT-Sicherheitsherstellers ESET haben neue Aktivitäten der CosmicBeetle-Gruppe entdeckt. Sie verbreitet Ransomware an kleine und mittlere Unternehmen (KMU), hauptsächlich in Europa und Asien. Dabei kommt ihre Ransomware ScRansom zum Einsatz. In ihren Erpresserbriefen und Webseiten versucht CosmicBeetle, die Reputation der bekannten, mittlerweile inaktiven LockBit-Gruppe auszunutzen, um Opfer zur ...

  • 23.08.2024 – 13:20

    ESET deckt neue Android-Malware auf: Kriminelle stehlen Bargeld per Smartphone am Geldautomaten

    Jena (ots) - ESET Forscher haben eine Cybercrime-Kampagne aufgedeckt, die Kunden von drei tschechischen Banken ins Visier nahm. Die eingesetzte Malware namens NGate kann die Daten von Zahlungskarten inklusive PIN der Opfer über eine bösartige App, die auf ihren Android-Geräten installiert wurde, an das gerootete Android-Telefon des Angreifers übermitteln. Das ...