Spionageattacken auf Behörden und Unternehmen in Kolumbien

Nächste PM

ESET Forscher haben mehrere gezielte Angriffe auf Einrichtungen in Kolumbien aufgedeckt. Zwischen diesen Attacken sehen die Experten einen Zusammenhang und haben sie „Operation Spalax“ genannt. Als Drahtzieher vermuten die Experten des europäischen IT-Sicherheitsherstellers aufgrund der Komplexität und Fokussierung der Angriffe eine APT-Gruppe. Bei Operation Spalax kommt ein Remote-Access-Trojanern (RAT) zum Einsatz, mit dem höchstwahrscheinlich die Ziele ausspioniert werden. Bemerkenswert ist die große Netzwerkinfrastruktur für die Steuerung und Kontrolle des RAT. Ihre Analyse haben die ESET Forscher auf dem Security-Blog WeliveSecurity.de veröffentlicht.

„Bei unserer Analyse haben wir mindestens 24 verschiedene IP-Adressen entdeckt, die zur Steuerung und Kontrolle der Spionageprogramme allein in der zweiten Hälfte 2020 verwendet wurden. Dabei handelt es sich wohl um kompromittierte Geräte, die als Proxys für ihre Command- & Control-Server dienen“, erklärt ESET Forscher Matías Porolli. „Dies in Kombination mit der Nutzung dynamischer DNS-Dienste legt die Vermutung nahe, dass ihre Infrastruktur dauerhaft in Betrieb ist. Allein im Analysezeitraum haben wir 70 aktive Domain-Namen gesehen. Wir gehen davon aus, dass sie weiterhin neue registrieren.“

 

Ablauf der Spionageangriffe

Die Angreifer setzen bei ihrer Operation auf E-Mails, die ein PDF-Dokument im Anhang haben. Themen dieser Nachrichten waren die Aufforderung, einen COVID-19 Test zu machen, an einer Gerichtsverhandlung teilzunehmen sowie die Drohung, Bankkonten einzufrieren oder die Aufforderung Bußgeldern zu bezahlen. Im Dokumenteninhalt befindet sich ein Link, auf den der Empfänger klicken muss. Dabei wird ein RAR-Archiv heruntergeladen, das eine ausführbare Datei enthält. Die Archive liegen auf legitimen Hosting-Diensten wie OneDrive oder MediaFire.

Bei den in Operation Spalax verwendeten Payloads handelt es sich um Remote-Access-Trojaner. Diese bieten verschiedene Möglichkeiten sowohl zur Fernsteuerung, als auch zum Ausspionieren von Zielen: Keylogging, Screen-Capture, Clipboard-Hijacking, Exfiltration von Dateien und die Möglichkeit, andere Malware herunterzuladen und auszuführen. Das sind nur einige der Funktionen dieser RAT.

Ihre Analyse haben die ESET Forscher auf WeliveSecurity veröffentlicht: https://www.welivesecurity.com/deutsch/2021/01/12/operation-spalax-spionageattacken-in-kolumbien/

Pressekontakt

Christian Lueg
Head of Communication & PR DACH

christian.lueg@eset.com

Michael Klatte
PR-Manager

michael.klatte@eset.com

Philipp Plum
PR-Manager

philipp.plum@eset.com

Über ESET

Der europäische IT-Sicherheitshersteller ESET mit Hauptsitz in Bratislava (Slowakei) bietet hochmoderne digitale Security-Lösungen, um Angriffe zu verhindern, bevor sie passieren. Ob Endpoint-, Cloud- oder mobiler Schutz – durch die Kombination aus Künstlicher Intelligenz und menschlicher Expertise sichert ESET Unternehmen, kritische Infrastrukturen und Privatpersonen effektiv ab.  Die Technologien „Made in EU“ sorgen für zuverlässige Erkennung und Reaktion, extrem sichere Verschlüsselung und Multi-Faktor-Authentifizierung. ESET verfügt über weltweite Forschungs- und Entwicklungszentren und ein starkes internationales Partnernetzwerk in über 200 Ländern und Regionen.