Spionageattacken auf Behörden und Unternehmen in Kolumbien

Nächste PM

ESET Forscher haben mehrere gezielte Angriffe auf Einrichtungen in Kolumbien aufgedeckt. Zwischen diesen Attacken sehen die Experten einen Zusammenhang und haben sie „Operation Spalax“ genannt. Als Drahtzieher vermuten die Experten des europäischen IT-Sicherheitsherstellers aufgrund der Komplexität und Fokussierung der Angriffe eine APT-Gruppe. Bei Operation Spalax kommt ein Remote-Access-Trojanern (RAT) zum Einsatz, mit dem höchstwahrscheinlich die Ziele ausspioniert werden. Bemerkenswert ist die große Netzwerkinfrastruktur für die Steuerung und Kontrolle des RAT. Ihre Analyse haben die ESET Forscher auf dem Security-Blog WeliveSecurity.de veröffentlicht.

„Bei unserer Analyse haben wir mindestens 24 verschiedene IP-Adressen entdeckt, die zur Steuerung und Kontrolle der Spionageprogramme allein in der zweiten Hälfte 2020 verwendet wurden. Dabei handelt es sich wohl um kompromittierte Geräte, die als Proxys für ihre Command- & Control-Server dienen“, erklärt ESET Forscher Matías Porolli. „Dies in Kombination mit der Nutzung dynamischer DNS-Dienste legt die Vermutung nahe, dass ihre Infrastruktur dauerhaft in Betrieb ist. Allein im Analysezeitraum haben wir 70 aktive Domain-Namen gesehen. Wir gehen davon aus, dass sie weiterhin neue registrieren.“

 

Ablauf der Spionageangriffe

Die Angreifer setzen bei ihrer Operation auf E-Mails, die ein PDF-Dokument im Anhang haben. Themen dieser Nachrichten waren die Aufforderung, einen COVID-19 Test zu machen, an einer Gerichtsverhandlung teilzunehmen sowie die Drohung, Bankkonten einzufrieren oder die Aufforderung Bußgeldern zu bezahlen. Im Dokumenteninhalt befindet sich ein Link, auf den der Empfänger klicken muss. Dabei wird ein RAR-Archiv heruntergeladen, das eine ausführbare Datei enthält. Die Archive liegen auf legitimen Hosting-Diensten wie OneDrive oder MediaFire.

Bei den in Operation Spalax verwendeten Payloads handelt es sich um Remote-Access-Trojaner. Diese bieten verschiedene Möglichkeiten sowohl zur Fernsteuerung, als auch zum Ausspionieren von Zielen: Keylogging, Screen-Capture, Clipboard-Hijacking, Exfiltration von Dateien und die Möglichkeit, andere Malware herunterzuladen und auszuführen. Das sind nur einige der Funktionen dieser RAT.

Ihre Analyse haben die ESET Forscher auf WeliveSecurity veröffentlicht: https://www.welivesecurity.com/deutsch/2021/01/12/operation-spalax-spionageattacken-in-kolumbien/

Pressekontakt

Thorsten Urbanski
Head of Communication & PR DACH
+49 3641 3114 261
thorsten.urbanski@eset.de

Michael Klatte
PR-Manager
+49 3641 3114 257
michael.klatte@eset.de

Christian Lueg
PR-Manager
+49 3641 3114 269
christian.lueg@eset.de

Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.