Die Sea Turtle Malware Kampagne

Die “Sea Turtle”-Cyber-Spionage-Kampagne, die von einer mit der Türkei verbundenen Bedrohungsgruppe durchgeführt wird, hat Telekommunikations-, Medien-, Internetdienstanbieter und IT-Dienstleister sowie kurdische Websites in den Niederlanden ins Visier genommen. Die Kampagne zielt darauf ab, politisch motivierte Informationen wie persönliche Daten von Minderheitengruppen und potenziellen politischen Dissidenten zu sammeln. Die Gruppe, die auch als Cosmic Wolf, Marbled Dust, Teal Kurma und UNC1326 bekannt ist, wurde erstmals im April 2019 von Cisco Talos dokumentiert und führt seit Januar 2017 Aktivitäten durch, die hauptsächlich auf DNS-Hijacking basieren, um Anmeldeinformationen zu ernten.

Die Sea Turtle-Kampagne nutzt Angriffe auf die Lieferkette und sog. “Island-Hopping” für DNS-Hijacking, um Unix-Systeme zu kompromittieren. Dabei werden Opfer, die versuchen, eine bestimmte Domain zu erreichen, auf einen vom Angreifer kontrollierten Server umgeleitet, der ihre Anmeldeinformationen erfassen kann. Im Jahr 2023 beobachtete man, dass die Angreifer einen kompromittierten, aber legitimen cPanel-Account als initialen Zugangspunkt nutzten, um SnappyTCP auf dem System einzusetzen. SnappyTCP ist eine einfache Reverse-TCP-Shell für Linux/Unix-Systeme mit Basis-Command-and-Control-Fähigkeiten. Durch diese Methode können die Angreifer Befehle senden, um Kopien von E-Mail-Archiven zu erstellen und möglicherweise zu exfiltrieren.

Related Posts

Black Basta Ransomware: Softwareschwachstelle ermöglicht Datenrettung

Black Basta ist eine Ransomware as a Service Gruppe, die ihre Software Cyberkriminellen im DarkNet anbietet. Seit seiner Entstehung Anfang 2022 hat die Black Basta Ransomware-Gruppe mehr als 329 Organisationen angegriffen und dabei Zahlungen in Höhe von mindestens 107 Millionen US-Dollar von über 90 Opfern erhalten. Zu den bemerkenswerten Opfern im Jahr 2022 zählen der Schweizer Technologiekonzern ABB, das britische Outsourcing-Unternehmen Capita und Dish Network. Black Basta, vermutlich ein Ableger der Conti-Gruppe, nutzt doppelte Erpressungstaktiken, indem sie sensible Daten von Opfern exfiltriert, bevor sie deren Netzwerke verschlüsselt und mit der Veröffentlichung der gestohlenen Informationen droht, falls kein Lösegeld gezahlt wird.

Read More

Hacker Technik: Island Hopping

Island-Hopping, auch bekannt als laterale Bewegung, ist eine Cyberangriffstechnik, bei der Angreifer ein primäres Ziel kompromittieren, um Zugang zu weiteren Netzwerken oder verbundenen Systemen zu erhalten. Bei Island-Hopping-Angriffen beginnen die Angreifer typischerweise mit der Kompromittierung eines weniger gesicherten Teils eines Netzwerks. Nach dem initialen Eindringen nutzen sie ihre Präsenz, um sich horizontal durch das Netzwerk zu bewegen und weitere Systeme zu kompromittieren. Dies kann bedeuten, dass sie von einem Unternehmen zum nächsten springen, insbesondere wenn diese Firmen geschäftlich miteinander verbunden sind. Üblich sind z.B. Angriffe auf Personalberatungsfirmen oder IT Dienstleister. Durch diese Methode können Angreifer auf eine Vielzahl von Daten zugreifen und ihre Angriffsfläche erweitern, ohne direkt auf das eigentliche Ziel zuzugreifen.

Read More

Phishing Techniken: Asyncrat Malware Attacken auf Windows-Rechner

Die aktuellen Angriffe mit der AsyncRAT-Malware über E-Mails nutzen eine ausgeklügelte Phishing-Technik, um den Trojaner zu verbreiten. Die Software AsyncRAT ist Open Source und eigentlich zum Fernzugriff auf Windows Rechner bestimmt. Jedoch eignet Sie sich auch hervorragend für die Zwecke von Hackern, um Daten zu klauen und Malware zu installieren. Da diese Software nicht automatisch auf Windows installiert ist und auch nicht so eingestellt ist, dass Hacker diese einfach nutzen können, haben diese einen ausgeklügelten Plan entwickelt, wie sich eine für die Zwecke der Hacker modfizierte AsyncRat Version unbemerkt von Malware Scannern und den Opfern auf Rechnern installiert:

Read More