Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Spionageattacken auf Behörden und Unternehmen in Kolumbien

Digital Spionage

Klickt man auf einen Link in der Nachricht der Angreifer wird ein RAR-Archiv heruntergeladen, das eine ausführbare Datei enthält. (Quelle: Gerd Altmann/Pixabay)

 

Forscher des Sicherheitsanbieters Eset haben mehrere gezielte Angriffe auf Einrichtungen in Kolumbien aufgedeckt. Zwischen diesen Attacken sehen die Experten einen Zusammenhang und haben sie "Operation Spalax" genannt. Als Drahtzieher vermuten die Sicherheitsexperten aufgrund der Komplexität und Fokussierung der Angriffe eine APT-Gruppe. Bei Operation Spalax kommt ein Remote-Access-Trojaner (RAT) zum Einsatz, mit dem höchstwahrscheinlich die Ziele ausspioniert werden.

 

Bemerkenswert ist die große Netzwerkinfrastruktur für die Steuerung und Kontrolle des RAT. Ihre Analyse haben die Forscher auf dem Security-Blog WeliveSecurity.de veröffentlicht.  "Bei unserer Analyse haben wir mindestens 24 verschiedene IP-Adressen entdeckt, die zur Steuerung und Kontrolle der Spionageprogramme allein in der zweiten Hälfte 2020 verwendet wurden. Dabei handelt es sich wohl um kompromittierte Geräte, die als Proxys für ihre Command- & Control-Server dienen", erklärt Eset-Forscher Matías Porolli. "Dies in Kombination mit der Nutzung dynamischer DNS-Dienste legt die Vermutung nahe, dass ihre Infrastruktur dauerhaft in Betrieb ist. Allein im Analysezeitraum haben wir 70 aktive Domain-Namen gesehen. Wir gehen davon aus, dass sie weiterhin neue registrieren."

 

Ablauf der Spionageangriffe

Die Angreifer setzen bei ihrer Operation auf E-Mails, die ein PDF-Dokument im Anhang haben. Themen dieser Nachrichten waren die Aufforderung, einen COVID-19 Test zu machen, an einer Gerichtsverhandlung teilzunehmen sowie die Drohung, Bankkonten einzufrieren oder die Aufforderung, Bußgeldern zu bezahlen. Im Dokumenteninhalt befindet sich ein Link, auf den der Empfänger klicken muss. Dabei wird ein RAR-Archiv heruntergeladen, das eine ausführbare Datei enthält. Die Archive liegen auf legitimen Hosting-Diensten wie OneDrive oder MediaFire.

Bei den in Operation Spalax verwendeten Payloads handelt es sich um Remote-Access-Trojaner. Diese bieten verschiedene Möglichkeiten sowohl zur Fernsteuerung, als auch zum Ausspionieren von Zielen: Keylogging, Screen-Capture, Clipboard-Hijacking, Exfiltration von Dateien und die Möglichkeit, andere Malware herunterzuladen und auszuführen. Das sind nur einige der Funktionen dieser RAT.

 

Siehe auch:

https://www.welivesecurity.com/deutsch/2021/01/12/operation-spalax-spionageattacken-in-kolumbien/

 

Zurück