SÜDOSTASIEN / MÜNCHEN (IT BOLTWISE) – Eine neue Welle von Cyberangriffen in Südostasien hat die Aufmerksamkeit von Sicherheitsexperten weltweit auf sich gezogen. Im Zentrum dieser Angriffe steht eine Ransomware-Attacke, die mit einem bekannten chinesischen Spionage-Toolset in Verbindung gebracht wird.
- Die besten Bücher rund um KI & Robotik
präsentiert von Amazon! - Unsere täglichen KI-News von IT Boltwise® bei LinkedIn abonnieren!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facy oder Insta als Fan markieren und abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Die jüngsten Cyberangriffe in Südostasien werfen ein neues Licht auf die Aktivitäten chinesischer Hackergruppen. Eine Ransomware-Attacke im November 2024 auf ein asiatisches Software- und Dienstleistungsunternehmen hat die Sicherheitsgemeinschaft alarmiert. Diese Attacke nutzte ein bösartiges Tool, das exklusiv von China-basierten Cyber-Spionagegruppen verwendet wird, was die Möglichkeit aufwirft, dass der Angreifer möglicherweise in einer individuellen Kapazität als Ransomware-Akteur tätig ist.
Der Angriff, der von der Symantec Threat Hunter Team untersucht wurde, zeigte den Einsatz eines speziellen Toolsets, das zuvor von einem China-verbundenen Akteur in klassischen Spionageangriffen verwendet wurde. In früheren Einbrüchen schien der Angreifer ausschließlich daran interessiert zu sein, eine dauerhafte Präsenz in den Zielorganisationen zu etablieren, indem er Hintertüren installierte. Ein bemerkenswerter Vorfall war der Angriff auf das Außenministerium eines südosteuropäischen Landes im Juli 2024, bei dem klassische DLL-Sideloading-Techniken eingesetzt wurden, um PlugX-Malware zu installieren.
PlugX, auch bekannt als Korplug, ist ein wiederholt von der Gruppe Mustang Panda eingesetztes Malware-Tool. Der Angriffskette zufolge wird eine legitime Toshiba-Executable namens “toshdpdb.exe” verwendet, um eine bösartige DLL namens “toshdpapi.dll” zu sideloaden, die wiederum als Kanal dient, um die verschlüsselte PlugX-Nutzlast zu laden. Weitere Einbrüche, die mit demselben Toolset in Verbindung stehen, wurden im August 2024 bei Angriffen auf zwei verschiedene Regierungseinrichtungen in Südosteuropa und Südostasien beobachtet.
Im November 2024 wurde die PlugX-Variante als Teil einer kriminellen Erpressungskampagne gegen ein mittelgroßes Software- und Dienstleistungsunternehmen in Südasien eingesetzt. Der Angreifer behauptete, das Netzwerk des Unternehmens durch Ausnutzung einer bekannten Sicherheitslücke in der Palo Alto Networks PAN-OS-Software kompromittiert zu haben. Der Angriff endete mit der Verschlüsselung der Maschinen durch die RA World Ransomware, nachdem die Toshiba-Binärdatei verwendet wurde, um die PlugX-Malware zu starten.
Interessanterweise haben frühere Analysen von Cisco Talos und Palo Alto Networks Unit 42 Überschneidungen in der Vorgehensweise zwischen RA World und einer chinesischen Bedrohungsgruppe namens Bronze Starlight aufgedeckt. Diese Gruppe hat eine Geschichte der Nutzung kurzlebiger Ransomware-Familien. Symantec vermutet, dass ein einzelner Akteur hinter dem Angriff steckt, der versucht, schnell finanzielle Gewinne zu erzielen. Diese Form des Nebenerwerbs ist in der chinesischen Hacking-Community selten, jedoch häufiger bei Akteuren aus Iran und Nordkorea zu beobachten.
Parallel dazu wurde die chinesische Hackergruppe Salt Typhoon mit einer Reihe von Cyberangriffen in Verbindung gebracht, die bekannte Sicherheitslücken in Cisco-Netzwerkgeräten ausnutzen. Diese Angriffe zielten auf ein US-amerikanisches Tochterunternehmen eines bedeutenden britischen Telekommunikationsanbieters sowie auf Telekommunikationsanbieter in Südafrika und Thailand ab. Die Angriffe fanden zwischen Dezember 2024 und Januar 2025 statt und versuchten, mehr als 1.000 Cisco-Geräte weltweit auszunutzen.
Um das Risiko solcher Angriffe zu mindern, wird empfohlen, dass Organisationen verfügbare Sicherheits-Patches und Updates für öffentlich zugängliche Netzwerkgeräte priorisieren und die Exposition von Verwaltungsoberflächen oder nicht wesentlichen Diensten im Internet vermeiden, insbesondere für Geräte, die das Ende ihrer Lebensdauer erreicht haben.
Amazon-Trendangebote der letzten 24 Stunden mit bis zu 78% Rabatt (Sponsored)
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Chinesische Cyberangriffe in Südostasien: Verbindungen zu Ransomware und Spionage" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.