Deutschland News Agency

Anfang September 2022 wurden neue Schadprogrammbeispiele identifiziert, die mit der MATA-Gruppe in Verbindung gebracht wurden, die zuvor mit der Lazarus-Gruppe in Verbindung gebracht wurde. Diese Kampagne, die auf mehr als einem Dutzend Unternehmen in Osteuropa abzielte, dauerte von Mitte August 2022 bis Mai 2023. Die Angreifer verwendeten Spear-Phishing-E-Mails, die die CVE-2021-26411-Schwachstelle ausnutzten, und das Herunterladen von ausführbaren bösartigen Windows-Dateien über Webbrowser.

Die Infektionskette von MATA verfügte über eine komplexe Struktur, die Installationsprogramm, Haupt-Trojaner und Identitätsdiebstahl mit Rootkits und sensiblen Authentifizierungsprozessen kombinierte. Die internen IP-Adressen, die als Command and Control (C&C)-Server verwendet wurden, zeigten eine wichtige Entdeckung, dass die Angreifer ihre eigenen Kontroll- und Infiltrationssysteme in die Infrastruktur der Opfer integriert hatten. Kaspersky warnte die betroffenen Organisationen umgehend und ermöglichte so eine schnelle Reaktion.

Ein Angriff, der mit einer Spear-Phishing-E-Mail zur Phishing-Identität in einer Fabrik begann, drang ins Netzwerk ein und gefährdete den Hauptdomänencontroller des Unternehmens. Die Angreifer nutzten dann Sicherheitslücken und Rootkits, um die Kontrolle über Workstations und Server zu übernehmen. Insbesondere drangen sie in die Sicherheitslösungspanels ein, um Informationen zu sammeln und bösartige Software in Systeme außerhalb von Unterorganisationen und der Unternehmensdomäneninfrastruktur zu verteilen.

Vyacheslav Kopeytsev, leitender Sicherheitsforscher bei Kaspersky ICS CERT, sagte: "Der Schutz vor gezielten Angriffen auf den Industriesektor erfordert einen aufmerksamen Ansatz, der bewährte Cybersicherheitspraktiken mit proaktivem Denken kombiniert. Unsere Experten bei Kaspersky verfolgen die Entwicklung der APT und prognostizieren ihre Bewegungen, um neue Taktiken und Werkzeuge zu erkennen. Unsere Verpflichtung zur Cybersicherheitsforschung ergibt sich aus unserem Versprechen, Organisationen kritische Informationen über sich ständig weiterentwickelnde Cyberbedrohungen bereitzustellen. Durch Aufklärung und Umsetzung der neuesten Sicherheitsmaßnahmen können Unternehmen ihre Verteidigung gegen solche Angreifer stärken und ihre Netzwerke und Systeme schützen."

Die Forscher von Kaspersky empfehlen die folgenden Maßnahmen, um nicht zum Ziel gezielter Angriffe, sei es von bekannten oder unbekannten Bedrohungsakteuren, zu werden:

''Stellen Sie sicher, dass Ihr SOC-Team Zugang zu den neuesten Threat-Intelligence-Informationen hat. Kaspersky Threat Intelligence bietet einen gemeinsamen Anlaufpunkt für Threat Intelligence, der Daten und Einblicke zu Cyberangriffen enthält, die von Kaspersky seit mehr als 20 Jahren gesammelt wurden. Stärken Sie Ihr Cybersicherheitsteam durch Kaspersky-Online-Training, das von den Experten von GReAT entwickelt wurde, um gegen die neuesten gezielten Bedrohungen zu kämpfen. Spezielle Lösungen wie Kaspersky Industrial CyberSecurity können als wichtige Ressource für kontinuierliche Schwachstellenbewertung und -triage im Rahmen des effektiven Schwachstellenmanagementsprozesses dienen. Verwenden Sie EDR-Lösungen wie Kaspersky Endpoint Detection and Response für die Erkennung, Untersuchung und rechtzeitige Behebung von Vorfällen auf Endpunktebene. Neben grundlegendem Endpunktschutz sollten Sie eine erstklassige Unternehmenssicherheitslösung einsetzen, die erweiterte Bedrohungen auf Netzwerkebene frühzeitig erkennt, wie die Kaspersky Anti Targeted Attack Platform. Da viele gezielte Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen, schulen Sie Ihr Team in Sicherheitsbewusstsein und entwickeln Sie praktische Fähigkeiten. Dies kann beispielsweise über die Kaspersky Automatic Security Awareness Platform erfolgen. Wir empfehlen, dass Sie spezielle Schulungen wie Digitale Forensik und Incident Response im ICS-Bereich von Kaspersky ICS CERT in Anspruch nehmen, um sicherzustellen, dass Ihr Team, Ihre Werkzeuge und Ihre Prozesse für eine ausgefeilte Incident Response in Ihrer Einrichtung bereit sind.''

Kaspersky wird auf dem Security Analyst Summit (SAS) 2023 teilnehmen, das vom 25. bis 28. Oktober in Phuket, Thailand, stattfindet und die Zukunft der Cybersicherheit eingehend untersucht.

Der Gipfel wird führende Forscher zur Bekämpfung von Malware, globale Strafverfolgungsbehörden, Incident-Response-Teams für Informationstechnologie und Führung skräfte aus den Bereichen Finanzen, Technologie, Gesundheit, Bildung und öffentlicher Sektor aus der ganzen Welt zusammenbringen.