Hackergruppe XDSpy stiehlt jahrelang Regierungsgeheimnisse in Europa

Beitragsbild vergrößern

Jena (ots) – ESET-Forscher enttarnen einen Cyber-Spionagering, der bisher unbemerkt agieren konnte. Die APT-Gruppe ist nach Erkenntnissen des europäischen Sicherheitsherstellers bereits seit 2011 aktiv und hat sich auf den Diebstahl sensibler Regierungsdokumente im osteuropäischen Raum und der Balkan-Region spezialisiert. Bei den Zielen handelt sich in erster Linie um Regierungsstellen, darunter Militäreinrichtungen und Außenministerien sowie vereinzelt Unternehmen. Die von ESET als XDSpy bezeichnete Hackerbande ist neun Jahre lang weitgehend unentdeckt geblieben, was selten ist.

“Die Kampagne um XDSpy ist exemplarisch für den aktuellen Stand der Cybersecurity. Nicht eingespielte Sicherheitsupdates, veraltete Soft- und Hardware, fehlendes Monitoring – all das lädt nicht nur Spione, sondern auch andere Cybergangster ein. Es wäre allerdings ein Trugschluss zu glauben, dass nur osteuropäische Behörden und Institutionen leicht zum Opfer fallen können”, sagt Thomas Uhlemann, Security Specialist bei ESET Deutschland. “Auch im deutschsprachigen Raum gibt es noch viel zu viele IT-Zwischenfälle. Diese wären vermeidbar, wenn einfachste IT-Security-Grundregeln wie Malwareschutz, ständige Aktualisierungen von Hard- und Software, entsprechende Budgets, moderne Zugriffsberechtigungen, Verschlüsselung und Know-how vorhanden gewesen wären.”

Als Amazon-Partner verdienen wir an qualifizierten Käufen / Letzte Aktualisierung am 19.10.2020 / Affiliate Links * / Platzierung nach Amazonverkaufsrang / Amazon und das Amazon-Logo sind Warenzeichen von Amazon.com, Inc. oder eines seiner verbundenen Unternehmen

Erfolgreiche Angriffe mit Spear-Phishing

Die XDSpy-Betreiber verwendeten lange Zeit Spear-Phishing-E-Mails, um ihre Ziele zu kompromittieren. Die E-Mails weisen dabei Variationen auf: Einige enthalten einen Anhang, während andere einen Link zu einer bösartigen Datei beinhalten. Dabei handelt es sich in der Regel um ZIP- oder RAR-Archive. Wenn das Opfer darauf doppelklickt, lädt die entpackte LNK-Datei “XDDown” – die Hauptkomponente der Malware – herunter und installiert diese.

XDSpy nutzt Microsoft Schwachstelle aus

Ende Juni 2020 verschärften die Angreifer ihre Attacken, indem sie eine Schwachstelle im Internet Explorer, CVE-2020-0968, ausnutzten. Diese wurde zwar im April 2020 von Microsoft gepatcht, aber offensichtlich das Update nicht überall eingespielt. Anstatt eines Archivs mit einer LNK-Datei lieferte der Command&Control-Server eine RTF-Datei. Sobald diese geöffnet war, lud sie eine HTML-Datei herunter und nutzte die Schwachstelle aus.

CVE-2020-0968 ist Teil einer Reihe ähnlicher Schwachstellen. Eine davon ist beispielsweise in der alten JavaScript-Engine des Internet Explorers zu finden, die in den letzten zwei Jahren offengelegt wurde. Zu der Zeit, als diese Schwachstelle von XDSpy ausgenutzt wurde, waren kein Proof-of-Concept und nur sehr wenige Informationen über diese spezielle Schwachstelle online verfügbar. Vermutlich hatte die Hackergruppe diesen Exploit entweder von einem Broker gekauft oder selbst einen 1-Day-Exploit entwickelt.

Trittbrettfahrer: Mit Covid-19-Themen Opfer in die Falle gelockt

Die Hackergruppe ist in 2020 mindestens zweimal auf den Covid-19-Zug aufgesprungen. “Der letzte Fall wurde vor einigen Wochen entdeckt und zwar im Rahmen ihrer laufenden Spear-Phishing-Kampagnen”, fügt ESET Researcher Matthieu Faou hinzu. “Da wir keine Code-Ähnlichkeiten mit anderen Malware-Familien gefunden und keine Überschneidungen in der Netzwerkinfrastruktur beobachtet haben, gehen wir bei XDSpy von einer bisher nicht dokumentierten Gruppe aus”, so Faou abschließend.

https://www.welivesecurity.com/deutsch/2020/10/02/xdspy-neue-apt-gruppe-entdeckt/

SIMPLECASE FFP2 Maske, Atemschutzmaske, Partikelfiltermaske, EU CE Zertifiziert von Offiziell benannter Stelle CE2834 - 40 Stück, WEIß MS-2004-20212 *
  • FFP2 Maske, Filtert über 94% der Wasserhaltiger und Ölhaltiger Aerisole sowie Feinstaub
  • Nach EN149:2001+A1:2009 CE Zertifiziert von EU Benannter Stelle CE 2834
  • Schützt Sie und Ihre Umgebung gegen Aerosole, Feinstaub und andere Partikel
  • Verpackungsabmessungen (L x B x H): 20.0 x 15.0 x 25.0 Zm
Jiandi, 10er-Pack, KN95 / FFP2 5-Lagen- Mundschutzmaske Atemschutzmaske *
  • LEISTUNG: KN95 und FFP2 beziehen sich auf die chinesischen und europäischen Standards für Filtermasken. Diese Maske hat mehrere K95-Markierungen, wurde jedoch zusätzlich nach der europäischen FFP2-Norm getestet, von einer EU-benannten Stelle (Nummer 0370) gemäß der EU-FFP2-Norm EN 149: 2001 + A1: 2009 bewertet und genehmigt. Die Dokumentation der benannten Stelle kann unter dem Produktbild heruntergeladen werden.
  • SCHUTZDESIGN: Zusätzlich zu Tröpfchen und Spritzern filtern die 5 Schichten dieser Masken mindestens 94% der in der Luft suspendierten Partikel
  • SICHERES DESIGN: Das eingebaute weiche, verstellbare Nasenclip- und Cup-Design bietet Komfort und Sicherheit durch die sichere Passform für das Gesicht der meisten Erwachsenen. Die 5 Schichten werden mit einem Verfahren an Ort und Stelle gehalten, bei dem alle 5 Schichten zusammengedrückt werden, um die maximale Filtrationsfähigkeit der Maske zu gewährleisten. Diese sollten nicht mit Löchern verwechselt werden.
  • PAKET: Das Paket enthält 10 Einweg-Atemschutzgeräte mit FFP2-Zertifizierung. Dies sind Einwegmasken für Erwachsene.
Heute 17% sparen!
Medisana RM 100 FFP2/KN 95 Atemschutzmaske Staubmaske Atemmaske 3-lagige Staubschutzmaske Mundschutzmaske 10 Stück einzelverpackt im PE-Beutel *
  • Schutzklasse FFP2/KN 95: Unsere filtrierenden Halbmasken filtern sowohl die eingeatmete sowie die ausgeatmete Luft und dient somit als Eigen- und Fremdschutz
  • Effizientes 3-Schicht-Filtersystem: Spunbond, Meltbond, Nonwoven – Hochgradige Filterung von 95% aller Partikel in der Luft
  • Hygienische Einzelverpackung: Die Einzelverpackung verhindert die Verunreinigung der Maske vor dem Gebrauch. In der Packung befinden sich 10 einzelverpackte Schutzmasken inklusive Clip
  • Optimale Passform: Die V-Form mit Nasenkontur und Ohrschlaufe mit elastischem Band bieten einen hohen Tragekomfort und sorgen für einen perfekten Sitz
  • Geprüft und gemäß der Norm EN 149:2001 + A1:2009; Verordnung (EU) 2016/425 für persönliche Schutzausrüstung

Als Amazon-Partner verdienen wir an qualifizierten Käufen / Letzte Aktualisierung am 19.10.2020 / Affiliate Links * / Platzierung nach Amazonverkaufsrang / Amazon und das Amazon-Logo sind Warenzeichen von Amazon.com, Inc. oder eines seiner verbundenen Unternehmen

Quellenangaben

Bildquelle: obs/ESET Deutschland GmbH
Textquelle: ESET Deutschland GmbH, übermittelt durch news aktuell
Quelle: https://www.presseportal.de/pm/71571/4723304
Newsroom: ESET Deutschland GmbH
Pressekontakt: ESET Deutschland GmbH
Thorsten Urbanski
Head of Communication & PR DACH
+49 (0)3641 3114-261
thorsten.urbanski@eset.de

Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte@eset.de

Christian Lueg
PR Manager DACH
+49 (0)3641 3114-269
christian.lueg@eset.de

Folgen Sie ESET:
http://www.ESET.de

ESET Deutschland GmbH
Spitzweidenweg 32
07743 Jena
Deutschland

Presseportal