ESET deckt Spionagekampagne der China-nahen Hackergruppe TheWizards auf

Nächste PM

Sicherheitsforscher von ESET haben eine bislang unbekannte Spionagekampagne der chinesisch verbundenen Hackergruppe TheWizards aufgedeckt. Die Angreifer kapern dabei die Update-Funktion legitimer Software und installieren darüber eine Backdoor namens WizardNet. Betroffen sind unter anderem Nutzer in China, auf den Philippinen und in den Vereinigten Arabischen Emiraten.

„Obwohl es sich bei TheWizards um eine relativ junge Gruppe handelt, sind ihre Methoden hochprofessionell und zeugen von großer krimineller Energie“, erklärt ESET-Forscher Facundo Muñoz, der hinter den aktuellen Untersuchungen steckt. „Die installierten Hintertüren erlauben es den Angreifern, ihre Kontrolle über kompromittierte Systeme dauerhaft aufrechtzuerhalten.“

Hacking-Werkzeug leitet Netzwerkverkehr um

TheWizards nutzen eine sogenannte Adversary-in-the-Middle-Technik (AitM): Dabei schleusen sie sich zwischen das Opfer und legitime Server ein – etwa durch Spoofing von IPv6-Autokonfigurationen. Dadurch können sie den Datenverkehr umleiten und beispielsweise Software-Updates auf infizierte Server lenken.

In einem konkreten Fall manipulierten sie das Update der weit verbreiteten Chat-Anwendung Tencent QQ. Statt der Originalsoftware wurde über das gefälschte Update die Backdoor WizardNet installiert. Diese stellt eine Verbindung zu einem Command-&-Control-Server her und kann darüber flexibel Schadcode in Form von .NET-Modulen nachladen – ohne dass der Nutzer etwas davon bemerkt.

ESET Forscher haben mindestens fünf solcher Steuerbefehle identifiziert – drei davon ermöglichen die direkte Ausführung von Schadfunktionen im Arbeitsspeicher des Zielsystems.

„Die genutzte Malware unterscheidet sich zwar, aber es gibt klare Hinweise auf gemeinsame Ressourcen – etwa bei Domains und Servern“, so Muñoz.

Verbindungen zu anderen Hackergruppen

Nach Recherchen von ESET steht TheWizards in Verbindung mit der chinesischen Firma Dianke Network Security Technology, auch bekannt als UPSEC. Diese ist bekannt für die Android Backdoor DarkNights, die sich gezielt gegen tibetische und uigurische Zielgruppen richtet. 

Weitere Informationen gibt es im aktuellen Blogpost auf Welivesecurity.com.

Geographische Verteilung der Opfer von TheWizards

Pressekontakt

Christian Lueg
Head of Communication & PR DACH

christian.lueg@eset.com

Michael Klatte
PR-Manager

michael.klatte@eset.com

Philipp Plum
PR-Manager

philipp.plum@eset.com

Folgen Sie ESET:

https://www.ESET.de/
http://www.welivesecurity.de/
https://twitter.com/ESET_de
https://www.facebook.com/ESET.DACH

Über ESET

Der europäische IT-Sicherheitshersteller ESET mit Hauptsitz in Bratislava (Slowakei) bietet hochmoderne digitale Security-Lösungen, um Angriffe zu verhindern, bevor sie passieren. Ob Endpoint-, Cloud- oder mobiler Schutz – durch die Kombination aus Künstlicher Intelligenz und menschlicher Expertise sichert ESET Unternehmen, kritische Infrastrukturen und Privatpersonen effektiv ab.  Die Technologien „Made in EU“ sorgen für zuverlässige Erkennung und Reaktion, extrem sichere Verschlüsselung und Multi-Faktor-Authentifizierung. ESET verfügt über weltweite Forschungs- und Entwicklungszentren und ein starkes internationales Partnernetzwerk in über 200 Ländern und Regionen.