Forscher von Kaspersky haben eine neue Kampagne chinesischer APT-Hacker festgestellt, die auf Air-Gap-Systeme von Industrieunternehmen in Osteuropa abzielt.
Berichten zufolge verwenden Hacker bei ihrem Vorgehen 15 Implantate, die alle unterschiedliche Zwecke verfolgen, von der Aufrechterhaltung des Fernzugriffs bis zum Diebstahl von Daten. Forscher gaben TTPs, IoCs und andere Details an Systemadministratoren weiter, damit diese die Bedrohungsaktivität identifizieren und sicher bleiben konnten.
Diebstahl industrieller Daten in Europa
Forscher bei Kaspersky haben die neue Kampagne von APT-31 (eine vom chinesischen Staat gesponserte Hackergruppe, auch bekannt als ), die es auf Air-Gap-Systeme von Industrien in Osteuropa abgesehen hat.
Zum Unbekannten, Air-Gapped-Systeme sind vom öffentlichen Internet und anderen Computern in einem Netzwerk isolierte Maschinen. die kritische Daten sicher speichern. Unternehmen können ihre Geschäftsgeheimnisse vor externen Dritten schützen.
Da solche Air-Gap-Systeme wichtige Daten enthalten, sind Hacker daran interessiert, diese ins Visier zu nehmen, auch wenn dies schwierig ist. Sie verwenden häufig extreme Social-Engineering-Angriffe oder USB-Laufwerke, um die Systeme zu infizieren und sich von dort aus über die Ferne zu verbreiten.
Kaspersky stellte eine solche Kampagne von APT-31 fest, die im Mai letzten Jahres begann. In drei Phasen Der Bedrohungsakteur verwendet 15 Implantate, um Fernzugriff zu erlangen, die Beständigkeit aufrechtzuerhalten, Daten zu sammeln und sie auf die Command-and-Control-Server (C2) des Hackers zu exportieren.
Die Forscher entdeckten außerdem ein spezielles Implantat, das seine Nutzlast entschlüsselt und in den Speicher eines legitimen Prozesses einfügt, 10 Minuten lang innehält und schließlich alle erforderlichen Dateien stiehlt. Die Malware archiviert die gestohlenen Dateien mit WinRAR, speichert sie in temporären lokalen Ordnern und exportiert die Daten später schließlich in Dropbox.
Der technische Bericht von Kaspersky enthält alle notwendigen Daten, wie etwa Malware-Hashes, einen vollständigen Satz von Kompromittierungsindikatoren, TTPs usw., um die Angriffe zu identifizieren und zu vereiteln und die Air-Gap-Systeme zu schützen.
