Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Die APT-Kampagne von CommonMagic weitet ihr Zielgebiet auf die Zentral- und Westukraine aus

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 145

Woburn, MA – 19. Mai 2023 – Kaspersky-Forscher haben weitere Details dazu bereitgestellt Gemeinsame Magie Kampagne, die erstmals im März beobachtet wurde und sich gegen Unternehmen im russisch-ukrainischen Konfliktgebiet richtete. Die neue Untersuchung deckt komplexere böswillige Aktivitäten desselben Bedrohungsakteurs auf. Die Untersuchung ergab, dass der neu entdeckte Rahmen seine Viktimologie auf Organisationen in der Zentral- und Westukraine ausgeweitet hat. Kaspersky-Experten haben den unbekannten Akteur auch mit früheren APT-Kampagnen wie Operation BugDrop und Operation Groundbai (Prikormka) in Verbindung gebracht.

Im März 2023, Kaspersky berichtet eine neue APT-Kampagne im russisch-ukrainischen Konfliktgebiet. Diese Kampagne mit dem Namen CommonMagic nutzt PowerMagic- und CommonMagic-Implantate, um Spionageaktivitäten durchzuführen. Es ist seit September 2021 aktiv und nutzt eine bisher nicht identifizierte Malware, um Daten von Zielunternehmen zu sammeln. Obwohl der für diesen Angriff verantwortliche Bedrohungsakteur zu diesem Zeitpunkt noch unbekannt war, setzten die Kaspersky-Experten ihre Ermittlungen fort und führten die unbekannten Aktivitäten auf vergessene Kampagnen zurück, um weitere Erkenntnisse zu gewinnen.

Die kürzlich aufgedeckte Kampagne nutzte ein modulares Framework namens CloudWizard. Bei der Untersuchung von Kaspersky wurden insgesamt neun Module innerhalb dieses Frameworks identifiziert, die jeweils für unterschiedliche böswillige Aktivitäten wie das Sammeln von Dateien, Keylogging, das Aufzeichnen von Screenshots, das Aufzeichnen von Mikrofoneingaben und das Stehlen von Passwörtern verantwortlich sind. Insbesondere konzentriert sich eines der Module auf die Exfiltration von Daten aus Gmail-Konten. Durch das Extrahieren von Gmail-Cookies aus Browserdatenbanken kann dieses Modul auf Aktivitätsprotokolle, Kontaktlisten und alle mit den Zielkonten verknüpften E-Mail-Nachrichten zugreifen und diese schmuggeln.

Darüber hinaus haben die Forscher eine erweiterte Opferverteilung in der Kampagne aufgedeckt. Während die früheren Ziele hauptsächlich in den Regionen Donezk, Luhansk und der Krim angesiedelt waren, hat sich der Anwendungsbereich nun auf Einzelpersonen, diplomatische Einheiten und Forschungsorganisationen in der West- und Zentralukraine ausgeweitet.

Nach umfangreichen Untersuchungen zu CloudWizard haben Kaspersky-Experten erhebliche Fortschritte bei der Zuordnung zu einem bekannten Bedrohungsakteur erzielt. Sie haben bemerkenswerte Ähnlichkeiten zwischen CloudWizard und zwei zuvor dokumentierten Kampagnen beobachtet: Operation Groundbait und Operation BugDrop. Zu diesen Ähnlichkeiten gehören Code-Ähnlichkeiten, Dateibenennungs- und Auflistungsmuster, Hosting durch ukrainische Hosting-Dienste und gemeinsame Opferprofile in der West- und Zentralukraine sowie im Konfliktgebiet in Osteuropa.

Darüber hinaus weist CloudWizard auch Ähnlichkeiten mit der kürzlich gemeldeten Kampagne CommonMagic auf. Einige Abschnitte des Codes sind identisch, sie verwenden dieselbe Verschlüsselungsbibliothek, folgen einem ähnlichen Dateibenennungsformat und teilen sich die Opferorte innerhalb des osteuropäischen Konfliktgebiets.

Basierend auf diesen Erkenntnissen sind Kaspersky-Experten zu dem Schluss gekommen, dass die bösartigen Kampagnen von Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic und CloudWizard alle demselben aktiven Bedrohungsakteur zugeschrieben werden können.  

„Der für diese Operationen verantwortliche Bedrohungsakteur hat ein beharrliches und kontinuierliches Engagement für Cyberspionage gezeigt, indem er seine Tools kontinuierlich verbessert und seit über fünfzehn Jahren interessante Organisationen ins Visier nimmt“, sagte Georgy Kucherin, Sicherheitsforscher im Global Research and Analysis Team von Kaspersky. „Geopolitische Faktoren sind weiterhin ein wesentlicher Beweggrund für APT-Angriffe und angesichts der vorherrschenden Spannungen im russisch-ukrainischen Konfliktgebiet gehen wir davon aus, dass dieser Akteur seine Operationen in absehbarer Zukunft fortsetzen wird.“

Lesen Sie den vollständigen Bericht über die CloudWizard-Kampagne auf Securelist.

Um nicht Opfer eines gezielten Angriffs eines bekannten oder unbekannten Bedrohungsakteurs zu werden, empfehlen die Kaspersky-Forscher die Umsetzung folgender Maßnahmen:

  • Bieten Sie Ihrem SOC-Team Zugang zu den neuesten Threat Intelligence (TI). Das Kaspersky Threat Intelligence Portal ist ein zentraler Zugangspunkt für die TI des Unternehmens und stellt ihm Cyberangriffsdaten und Erkenntnisse zur Verfügung, die Kaspersky über einen Zeitraum von über 20 Jahren gesammelt hat.
  • Bilden Sie Ihr Cybersicherheitsteam weiter, um die neuesten gezielten Bedrohungen zu bekämpfen Kaspersky-Onlineschulung Entwickelt von GReAT-Experten
  • Für die Erkennung, Untersuchung und zeitnahe Behebung von Vorfällen auf Endpunktebene implementieren Sie EDR-Lösungen wie z Kaspersky Endpoint Detection and Response
  • Implementieren Sie zusätzlich zur Einführung eines wesentlichen Endpunktschutzes eine unternehmenstaugliche Sicherheitslösung, die komplexe Bedrohungen auf Netzwerkebene frühzeitig erkennt, wie z Kaspersky Anti-Targeted-Attack-Plattform
  • Da viele gezielte Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen, führen Sie Schulungen zum Sicherheitsbewusstsein ein und vermitteln Sie Ihrem Team praktische Fähigkeiten – zum Beispiel durch die Kaspersky Automated Security Awareness-Plattform
spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.