Das Kaspersky Global Research and Analysis Team (GReAT) wies in seiner Stellungnahme auf den neuesten Stand der Spionageaktivitäten hin.
Das Team verwies auf den SideWinder APT-Cluster und teilte mit, dass die Angriffe mithilfe eines bisher unbekannten Spionage-Tools namens „StealerBot“ auf den Nahen Osten und Afrika ausgeweitet wurden.
STRATEGISCHE INFRASTRUKTUREN WAREN ZWECK
Laut Aussage des Unternehmens wies Kaspersky darauf hin, dass der SideWinder-APT-Cluster auf hochkarätige Organisationen und strategische Infrastrukturen in den genannten Regionen abzielt und möglicherweise auch andere Opfer beeinträchtigen könnte.
SideWinder, auch bekannt als T-APT-04 oder RattleSnake, gilt als einer der produktivsten APT-Cluster, der 2012 seinen Betrieb aufnahm. Die Gruppe, die es auf militärische und öffentliche Institutionen in Pakistan, Sri Lanka, China und Nepal abgesehen hat, hat kürzlich ihre Angriffe gegen wichtige Institutionen im Nahen Osten und in Afrika verstärkt.
Ziel ist es, mittels Phishing-E-Mails gezielt in Systeme einzudringen
Kaspersky enthüllte, dass SideWinder ein fortschrittliches Post-Exploitation-Toolset namens „StealerBot“ verwendet.
StealerBot kann viele schädliche Aktivitäten ausführen, wie z. B. die Installation schädlicher Software, das Aufzeichnen von Screenshots, das Aufzeichnen von Tastenanschlägen, das Stehlen von Passwörtern und das Durchsickern von Dokumenten.
Seit 2018 versucht die Gruppe, über Phishing-E-Mails in Schadsysteme einzudringen.
„SIE WERDEN DIREKT IN DEN SPEICHER GELADEN“
Kaspersky-Experten empfehlen, Informationssicherheitsexperten mit neuen Bedrohungsinformationen auszustatten und fortschrittliche Sicherheitslösungen gegen diese Bedrohungen einzusetzen.
Giampaolo Dedola, Chef-Sicherheitsforscher von Kaspersky GReAT, dessen Ansichten in der Erklärung enthalten waren, stellte fest, dass StealerBot ein verdecktes Tool ist, das bei Spionageaktivitäten eingesetzt wird.
Dedola betonte, dass jede Komponente des Systems über eine modulare Struktur funktioniert, die darauf ausgelegt ist, eine bestimmte Funktion zu erfüllen, und machte folgende Aussagen:
Diese Module erscheinen nie als Dokumente auf der Festplatte des Systems, was ihre Nachverfolgung erschwert. Stattdessen werden sie direkt in den Speicher geladen.
Das Herzstück von StealerBot ist der „Orchestrator“, der die gesamte Operation überwacht, mit dem Befehls- und Kontrollserver des Bedrohungsakteurs kommuniziert und die Ausführung seiner verschiedenen Module koordiniert.
Ensonhaber