Cyberangriffskampagne
Gegen deutsche Unternehmen
Foto: Intpro/shutterstock.comDem Bundesamt für Verfassungsschutz (BfV) liegen Erkenntnisse über eine anhaltende Kampagne zur Cyber-Spionage durch die Gruppierung APT27 unter Einsatz der Schad-Software Hyperbro gegen deutsche Unternehmen vor.
Nach aktuellen Erkenntnissen nutzen die Angreifer seit März 2021 Schwachstellen in Microsoft Exchange sowie in der Software Zoho AdSelf Service Plus1 als Einfallstor für die Angriffe aus.
Es kann nicht ausgeschlossen werden, dass die Akteure neben dem Diebstahl von Geschäftsgeheimnissen und geistigem Eigentum versuchen, die Netzwerke der (Unternehmens-)Kunden beziehungsweise von Dienstleistern zusätzlich zu infiltrieren (Supply-Chain-Angriff).
APT27 ist seit mindestens 2010 aktiv. Gegenwärtig beobachtet das BfV eine Zunahme von Angriffen gegen deutsche Ziele durch die Gruppierung unter Verwendung von Hyperbro.
Das BfV geht von einer anhaltenden Angriffswelle durch den Akteur auf die deutsche Wirtschaft aus und veröffentlicht daher die angehängten Detektionsregeln und technische Indikatoren (Indicators of Compromise), um Wirtschaftsunternehmen die Identifikation bestehender Infektionen mit den derzeit kursierenden und möglicherweise neuen Versionen der Schadsoftware zu ermöglichen.
Mit dem Cyberbrief hat der Verfassungsschutz Hinweise veröffentlicht, wie man eine Infektion mit Hyberbro erkennen kann. Unter den Indizien, die auf eine Kompromittierung eines Systems deuten (Indicators of Compromise, IOC), listet das BfV etwa drei IP-Adressen, zu denen das RAT Kontakt sucht. Aber auch bestimmte Dateien, Pfade oder Prozesse können auf einen Befall hinweisen.
Administratoren und IT-Verantwortliche sollten nicht nur die Sicherheitsupdates zum Schließen der Schwachstellen installieren, durch die die Cybergangs in die Netze einbrechen können. Sie sollten zudem die eigenen Systeme auf die Indizien aus der Auflistung des Bundesamts für Verfassungsschutz prüfen und gegebenenfalls befallene Systeme isolieren und bereinigen.
Zur Übersicht