Die äußerst gezielten Attacken des bisher unbekannten iranischen Angreifers MalKamak umfassen neue Malware, die seit 2018 Sicherheitstools umgeht und Dropbox-Dienste für die Steuerung missbraucht

München – 06. Oktober 2021 – Cybereason, führendes Unternehmen für den zukunftssicheren Schutz vor Cyberangriffen, hat eine hochgradig zielgerichtete Cyber-Spionagekampagne aufdeckt, die sich gegen globale Luft-, Raumfahrt- und Telekommunikationsunternehmen richtet. Der neue Threat-Intelligence-Report von Cybereason identifiziert unter dem Namen MalKamak einen neuen iranischen Bedrohungsakteur. Dieser agiert seit mindestens 2018 und blieb lange unentdeckt. MalKamak nutzt einen sehr ausgeklügelten und bisher nicht entdeckten Remote-Access-Trojaner (RAT) namens ShellClient. Dieser umgeht Antiviren-Tools und andere Sicherheitsvorkehrungen und missbraucht den öffentlichen Cloud-Dienst Dropbox für das sogenannte Command & Control (C2), also die Kommunikation zwischen Angreifer und Opfer-Netzwerk. Die Angriffe dauern weiterhin an.

Der Bericht mit dem Titel “Operation GhostShell: Novel RAT Targets Global Aerospace and Telecoms Firms” beschreibt die unbemerkten Angriffe auf Unternehmen im Nahen Osten, den Vereinigten Staaten, Europa und Russland. Die Untersuchungen zeigen mögliche Verbindungen zu mehreren iranischen, staatlich unterstützten Angreifergruppen, darunter Chafer APT (APT39) und Agrius APT, auf. Der Bericht knüpft an die Veröffentlichung des DeadRinger-Reports von Cybereason im August an, in dem mehrere chinesische APT-Kampagnen, ebenfalls gegen Telekommunikationsanbieter, aufgedeckt wurden.

Zu den wichtigsten Erkenntnissen des Operation GhostShell-Berichts gehören:

– Die Identifizierung einer neuen Angreifergruppe: Die Cybereason Nocturnus- und Incident Response-Teams deckten eine bislang unbekannte, vom iranischen Staat geförderte Angreifergruppe auf. Cybereason gab den neu entdeckten Angreifern den Namen MalKamak.

– Die Entdeckung des ShellClient RAT: Die Cybereason Nocturnus- und Incident Response-Teams identifizierten einen ausgeklügelten und bisher nicht dokumentierten Remote-Access-Trojaner (RAT) mit der Bezeichnung ShellClient, der für gezielte Cyberspionage-Angriffe eingesetzt wird.

Weitere Meldungen:  Cybereason und Trustwave fusionieren zu globalem MDR Power-Haus

– Luft- und Raumfahrt- sowie Telekommunikationsunternehmen im Visier: Die Angriffe wurden vor allem im Nahen Ostens beobachtet, erstrecken sich aber auch auf die USA, Russland und Europa.

– Fortlaufende Entwicklung seit 2018: Der GhostClient-RAT wurde erstmals 2018 von MalKamak eingesetzt und wird seither kontinuierlich weiterentwickelt. Mit jeder neuen Version wurden weitere Eigenschaften und Tarnfunktionen hinzugefügt und bis in den September 2021 hinein beobachtet.

– Missbrauch von Cloud-Diensten für Command & Control: Die jüngsten ShellClient-Versionen missbrauchen Cloud-basierte Speicherdienste für das sogenante Command & Control (C2). In diesem Fall konnten die Angreifer durch die Nutzung von Dropbox unentdeckt bleiben und sich in den legitimen Netzwerk-Traffic einfügen.

– Auf Heimlichkeit bedacht: Die Schöpfer von ShellClient haben viel Aufwand betrieben, um die Erkennung durch Antiviren- und andere Sicherheitstools zu umgehen. Der Angriff nutzt mehrere Verschleierungstechniken und missbraucht Dropbox-Clients für das sogenannte Command & Control (C2), wodurch er sehr schwer zu entdecken ist.

– Mögliche iranische APT-Verbindungen: Die Untersuchung zeigt interessante Verbindungen zu mehreren, durch den Iran geförderten, Bedrohungsakteuren – darunter Chafer APT (APT39) und Agrius APT.

Unter Verwendung des ShellClient RAT installierten die Angreifer auch weitere Werkzeuge, um verschiedene Spionageaktivitäten in den attackierten Netzwerken durchzuführen. Darunter beispielsweise zusätzliche Aufklärungsmaßnahmen, laterale Bewegungen im Netzwerk, sowie die Sammlung und Exfiltration sensibler Daten. Es wird angenommen, dass Operation GhostShell von einem staatlich gesponserten Bedrohungsakteur oder einer Advanced Persistent Threat (APT) Gruppe durchgeführt wird.

“Operation GhostShell benutzt einen komplexen RAT, der bereits seit 2018 in der Lage ist, sich der Aufklärung zu entziehen. DeadRinger enthüllte eine ähnlich unauffällige Bedrohung bereits 2017. Das verrät uns viel darüber, wie fortschrittliche Angreifer kontinuierlich Sicherheitslösungen überwinden”, erläutert Lior Div, CEO und Co-Founder von Cybereason. “Noch mehr Tools einzusetzen, die noch mehr Warnmeldungen erzeugen und dabei die Verteidiger überfordern, hilft nicht dabei, solch ausgeklügelte Angriffe zu stoppen. Aus diesem Grund verfolgt Cybereason einen Ansatz, der auf der Erkennung von sehr subtilen Verhaltensketten basiert. So arbeiten die eigenen Aktivitäten des Angreifers gegen ihn und enthüllen die Attacke in einem sehr frühen Stadium.”

Weitere Meldungen:  DSGVO: Sensible Datensicher transportieren (BasedOn BSI Software/Hardware)

Über Cybereason
Cybereason ist Champion und erste Wahl für diejenigen, die heute Cybersicherheit verteidigen müssen. Cybereason bietet zukunftssicheren Schutz vor Angriffen mittels eines einheitlichen Sicherheitsansatzes, über sämtliche Endpunkte und das Unternehmen hinweg, wohin auch immer sich die Angriffsszenarien verlagern werden. Die Cybereason Defense Platform kombiniert die branchenweit besten Detection-and-Response-Methoden (EDR und XDR), Antivirenlösungen der nächsten Generation (NGAV) und proaktives Threat Hunting für die kontextbezogene Analyse jedes Elements innerhalb einer Malop™ (bösartigen Operation). Cybereason ist ein in Privatbesitz befindliches, internationales Unternehmen mit Hauptsitz in Boston und Kunden in über 45 Ländern. Weitere Informationen: www.cybereason.com

Firmenkontakt
Cybereason Inc.
Bil Keeler
Clarendon Street 18th Floor 200
MA 02116 Boston
+49 89 419599-46
cybereason@maisberger.com
https://www.cybereason.com/de/

Pressekontakt
Maisberger GmbH
Stefan Keil
Claudius-Keller-Str. 3c
81669 München
+49 89 419599-46
cybereason@maisberger.com
http://www.maisberger.com