MÜNCHEN (IT BOLTWISE) – Ein kürzlich aufgedeckter Cyberangriff auf ein großes US-Unternehmen, der über vier Monate andauerte, wirft ein Schlaglicht auf die komplexen und oft undurchsichtigen Methoden, die von mutmaßlich chinesischen Hackergruppen eingesetzt werden.
- Unsere KI-News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren und abonnieren!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Ein Cyberangriff, der über vier Monate hinweg auf ein großes US-Unternehmen abzielte, wurde kürzlich aufgedeckt. Experten vermuten, dass eine chinesische Hackergruppe hinter dem Angriff steckt. Die ersten Anzeichen der bösartigen Aktivitäten wurden am 11. April 2024 entdeckt, wobei die Angriffe bis August andauerten. Es wird jedoch nicht ausgeschlossen, dass der Angriff bereits früher begonnen haben könnte. Die Angreifer bewegten sich lateral durch das Netzwerk des Unternehmens und kompromittierten mehrere Computer, darunter auch Exchange-Server, was darauf hindeutet, dass sie E-Mails sammelten und möglicherweise sensible Daten exfiltrierten.
Die Identität des betroffenen Unternehmens wurde nicht bekannt gegeben, jedoch ist bekannt, dass es eine bedeutende Präsenz in China hat. Die Verbindung zu China als möglichem Täter ergibt sich aus der Verwendung von DLL-Side-Loading, einer bevorzugten Taktik verschiedener chinesischer Bedrohungsgruppen, sowie aus Artefakten, die zuvor in Verbindung mit einer staatlich geförderten Operation namens Crimson Palace identifiziert wurden. Interessanterweise wurde das Unternehmen bereits 2023 von einem Angreifer mit möglichen Verbindungen zu einer anderen chinesischen Hackergruppe namens Daggerfly angegriffen.
Die Angreifer nutzten neben DLL-Side-Loading auch Open-Source-Tools wie FileZilla, Impacket und PSCP sowie Living-off-the-Land-Programme wie Windows Management Instrumentation (WMI), PsExec und PowerShell. Der genaue Mechanismus, mit dem sie sich Zugang zum Netzwerk verschafften, ist derzeit unbekannt. Symantec fand jedoch heraus, dass der früheste Hinweis auf eine Kompromittierung ein Befehl war, der über WMI von einem anderen System im Netzwerk ausgeführt wurde, was darauf hindeutet, dass mindestens ein weiteres System bereits kompromittiert war.
Zu den weiteren bösartigen Aktivitäten der Angreifer gehörten der Diebstahl von Zugangsdaten, das Ausführen bösartiger DLL-Dateien, das Anvisieren von Microsoft Exchange-Servern und das Herunterladen von Tools wie FileZilla, PSCP und WinRAR. Besonders interessiert waren die Angreifer an Exchange-Servern, was darauf hindeutet, dass sie versuchten, Mail-Server zu infiltrieren, um E-Mail-Daten zu sammeln und möglicherweise zu exfiltrieren.
Diese Entwicklungen werfen ein Licht auf die komplexen Beziehungen innerhalb des chinesischen Cyber-Offensiv-Ökosystems. Universitäten spielen eine Rolle bei der Sicherheitsforschung, während Hack-for-Hire-Auftragnehmer Angriffe im Auftrag staatlicher Stellen durchführen. In vielen Fällen registrieren Personen, die mit dem Ministerium für Staatssicherheit oder Einheiten der Volksbefreiungsarmee in Verbindung stehen, Scheinfirmen, um die Attribution ihrer Kampagnen zum chinesischen Staat zu verschleiern. Diese Scheinfirmen, die keine echten gewinnorientierten Aktivitäten betreiben, helfen möglicherweise, die digitale Infrastruktur zu beschaffen, die für die Durchführung der Cyberangriffe benötigt wird, ohne unerwünschte Aufmerksamkeit zu erregen.
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. IT BOLTWISE® schließt jegliche Regressansprüche aus.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Langanhaltender Cyberangriff auf US-Unternehmen mit China-Verbindungen aufgedeckt".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Langanhaltender Cyberangriff auf US-Unternehmen mit China-Verbindungen aufgedeckt" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Langanhaltender Cyberangriff auf US-Unternehmen mit China-Verbindungen aufgedeckt" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.