APT-Hacking-Gruppen mischen jetzt alte und neue Techniken, um auf dem neuesten Stand zu bleiben
APT- Hacking-Gruppen (Advanced Persistent Threat) plagen das WEB weiterhin wie gewohnt. Um jedoch relevant zu bleiben, mischen die verantwortlichen Akteure Infektionsformeln der alten Schule mit technischen Innovationen und greifen dabei auf beliebte Themen zurück, um ihre Social-Engineering-Ansätze zu verbessern. In den letzten Monaten haben DeathStalker und MosaicRepressor ihr Spiel offenbar mit Tools von den anderen Enden des Spektrums verbessert. Während die ersteren weitgehend an ihren Waffen festgehalten haben, haben die letzteren versucht, die Form zu brechen und Malware-Infektionen auf die nächste Stufe zu heben.
Wenn es nicht kaputt ist, reparieren Sie es nicht
Es ist fast zwei Jahre her, seit die DeathStalker APT-Bande die Websicherheit von Organisationen im Finanz- und Justizsystem durch den Einsatz von Phishing-Programmen zur Erfassung sensibler Daten beeinträchtigt hat. Obwohl DeathStalker weiterhin dieselben alten Phishing-Betrügereien verwendet, wenn er sich potenziellen Opfern nähert, hat die Gruppe anscheinend einige Änderungen vorgenommen. Anstatt Dead-Drop-Resolver und andere Code-Sharing-Outlets für Spionage zu verwenden, leiten die Akteure von DeathStalker die im Spiel befindliche Malware jetzt direkt auf einen dedizierten C & C-Server um. Darüber hinaus scheinen sie ihre Phishing-Angriffe verstärkt zu haben, um auch ihre Aussichten auf einen erfolgreichen Angriff zu maximieren. Neuartige PowerShell-Implantate, die in E-Mail-Anhänge eingebettet sind, scheinen ebenfalls in die Gleichung eingegangen zu sein.
High-Tech-APTs
MosaicRegressor hingegen bietet komplexere Tools zur Verteilung von Malware. Diese APT nutzt EUFI-Schwachstellen aus, um die Keime einer Infektion auf Firmware-Ebene zu setzen. Daher ist es praktisch unmöglich, die über MosaicRegressor gelieferte Malware zu besiegen, wenn Sie nicht die gesamte gefährdete UEFI-Firmware auf Ihrem PC ersetzen. Da UEFI vor dem Betriebssystem geladen wird, wird auch die Malware geladen. Dies bedeutet, dass sie auch nach der Deinstallation Ihres Betriebssystems oder der Erlangung einer brandneuen Festplatteneinheit noch vorhanden ist. Bisher sind die Hauptziele der auf UEFI zugeschnittenen APT sowohl Regierungs- als auch Nichtregierungsorganisationen, die den südwestasiatischen Raum besetzen und auf die eine oder andere Weise Verbindungen zu Nordkorea haben.