Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Angreifer nutzen Insider-Know-how

HP: Angriffe im Baukasten-Stil

Angreifer nutzen Insider-Know-how

23. August 2023, 11:40 Uhr | Jörg Schröper
© WEKA Fachmedien

HP veröffentlichte soeben seinen aktuellen vierteljährlichen HP Wolf Security Threat Insights Report. Der Bericht zeigt: Bedrohungsakteure reihen verschiedene Angriffskombinationen wie Bausteine aneinander, um sich an Erkennungstools „vorbeizuschleichen“.

HP Wolf Security isoliert diese Bedrohungen, die von Security-Tools auf PCs nicht erkannt wurden. Dadurch erhält das Unternehmen nach eigenen Angaben einen spezifischen Einblick in die neuesten Techniken, die Cyber-Kriminelle in der sich schnell verändernden Bedrohungslandschaft einsetzen.

Basierend auf den Daten von mehreren Millionen Endgeräten, auf denen die Software läuft, ergeben sich laut dem HP-Wolf-Threat-Research-Team folgende Daten:

  • Für Cyberkriminelle, die Angriffe mit Bausteinen entwickeln, ist es Zeit zum Spielen: Angriffsketten sind häufig formelhaft aufgebaut. Bei den kreativen QakBot-Kampagnen haben die Bedrohungsakteure jedoch verschiedene Bausteine miteinander verbunden, um Infektionsketten zu erstellen. Cyber-Kriminelle tauschten verschiedene Dateitypen und Techniken wie Bausteine aus und konnten so Erkennungstools und Sicherheitsrichtlinien umgehen. 32 Prozent der von HP im zweiten Quartal analysierten QakBot-Infektionsketten waren daher einzigartig.
  • Den Unterschied zwischen Blogger oder Keylogger erkennen: Die Angreifer, die hinter den jüngsten Aggah-Kampagnen stecken, haben den bösartigen Code in der beliebten Blogging-Plattform Blogspot gehostet. Indem sie den Code in einer legitimen Quelle verstecken, ist es schwieriger zu erkennen, ob ein Nutzer einen Blog liest oder einen Angriff startet. Die Bedrohungsakteure nutzen dann ihr Wissen über Windows-Systeme, um Anti-Malware-Funktionen auf dem Computer des Benutzers zu deaktivieren, XWorm oder den AgentTesla Remote Access Trojan (RAT) auszuführen und vertrauliche Informationen zu stehlen.
  • Gegen das Protokoll vorgehen: HP hat auch weitere Aggah-Angriffe identifiziert, bei denen eine DNS-TXT-Datensatzabfrage genutzt wird, um den AgentTesla-RAT zu übertragen. Diese lässt sich normalerweise dafür verwenden, um auf einfache Informationen über Domänennamen zuzugreifen. Sicherheitsteams überwachen oder schützen das DNS-Protokoll oftmals nicht – und Cyber-Kriminelle wissen dies. Daher ist dieser Angriff extrem schwer zu erkennen.
  • Mehrsprachige Malware: Eine aktuelle Kampagne verwendet mehrere Programmiersprachen, um nicht entdeckt zu werden. Zunächst verschlüsseln die Cyber-Kriminellen die Malware mit einem in Go geschriebenen Verschlüsselungsprogramm. Das Ergebnis: Anti-Malware-Scanfunktionen, die den Angriff normalerweise erkennen würden, sind machtlos. Dann wechselt der Angriff zu C++, um mit dem Betriebssystem des Opfers zu interagieren und die .NET-Malware im Speicher auszuführen. So hinterlässt der Angriff nur minimale Spuren auf dem PC.

Patrick Schläpfer, Senior Malware Analyst des HP Wolf Security Threat Research Teams kommentiert: „Cyber-Kriminelle sind immer besser organisiert und informiert. Sie analysieren Betriebssystem-Internals und können so Lücken einfacher ausnutzen. Wenn sie wissen, welche Einfallspforten sie verwenden können, sind sie in der Lage, mit Leichtigkeit durch interne Systeme zu navigieren. Dazu setzen sie relativ einfache Techniken auf sehr effektive Weise ein – ohne Alarm zu schlagen.“

Der Bericht zeigt auch auf, wie cyberkriminelle Gruppen ihre Angriffsmethoden diversifizieren, um Sicherheitsrichtlinien und Erkennungsinstrumente zu umgehen. Zu den wichtigsten Ergebnissen gehören:

  • Archive waren im fünften Quartal in Folge der beliebteste Malware-Typ, der in 44 Prozent der von HP analysierten Fälle verwendet wurde.
  • Im zweiten Quartal stieg die Zahl der von HP Wolf Security gestoppten HTML-Bedrohungen im Vergleich zum ersten Quartal um 23 Prozent.
  • Die Zahl der ausführbaren Dateien stieg von Q1 auf Q2 um vier Prozentpunkte –von 14 Prozent auf 18 Prozent. Dies ist vor allem auf die Verwendung der Datei PDFpower.exe zurückzuführen, die Software mit einer Browser-Hijacking-Malware bündelt.
  • Bei Malware für Tabellenkalkulationen verzeichnete HP im ersten Quartal einen Rückgang um sechs Prozentpunkte (von 19 Prozent auf 13 Prozent) im Vergleich zum vierten Quartal. Die Angreifer wenden sich von Office-Formaten ab, in denen die Ausführung von Makros schwieriger ist.
  • Mindestens zwölf Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen im zweiten Quartal einen oder mehrere E-Mail-Gateway-Scanner.
  • Die wichtigsten Bedrohungsvektoren im zweiten Quartal waren E-Mails (79 Prozent) und Browser-Downloads (zwölf Prozent).

Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP Inc., erklärte dazu: „Die Infektionsketten mögen zwar unterschiedlich sein, aber sie nutzen dieselben Methoden – es läuft darauf hinaus, dass der Anwender auf einen Link oder ähnliches klickt. Anstatt zu versuchen, die Infektionskette zu erraten, sollten Unternehmen riskante Aktivitäten wie das Öffnen von E-Mail-Anhängen, das Klicken auf Links und Browser-Downloads isolieren und eindämmen.“

Die Daten wurden von April bis Juni 2023 anonym in virtuellen Maschinen von HP-Wolf-Security-Kunden gesammelt.
 

Anbieter zum Thema

Securepoint GmbH
Zyxel Networks A/S
G DATA CyberDefense AG
d.velop AG
WatchGuard Technologies
Matchmaker+
zu Matchmaker+

Lesen Sie mehr zum Thema

HP Deutschland GmbH IoT-Security Mobile Security Security-Services Security-Management
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu HP Deutschland GmbH

Konzentration im Enduser-Computing-Markt

Igel kauft Mitbewerber Stratodesk

Von HP über NetApp zu HPE

Susanne Kummetz wird Storage-Chefin bei HPE

HP Amplify Partner Conference

HP macht Partner fit für Künstliche Intelligenz

Neuer HP-Chef für Zentral und Osteuropa

Bernhard Fauser verlässt HP

HP übernimmt „AI Pin"

Ex-Apple-Manager scheitern mit Smartphone-Ersatz

Weitere Artikel zu IoT-Security

Qualcomm kooperiert mit Advantech

KI für IoT-Anwendungen vorantreiben

Meilenstein

Vodafone vernetzt das 200-millionste IoT-Gerät

ROI trifft Realisierbarkeit

Die Vorteile schlüsselfertiger IoT-Lösungen

Fünf Schritte zur sicheren Vorbereitung

NIS2: Trotz Verzögerung müssen Unternehmen jetzt handeln

Embedded Security made in Germany

Systemabsicherung aus sich selbst heraus

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Weitere Artikel zu Security-Services

Social Media als Sicherheitsrisiko

Digitale Fußabdrücke mit Folgen

BKA informiert über Operation Endgame

Ermittlern gelingt internationaler Schlag gegen Cyberkriminelle

MSP Elevate

Sophos erweitert Partnerprogramm für MSPs

Schwachstelle Bildungseinrichtungen

Universitäten als (zu) leichte Opfer

Mehr Sicherheit, Daten und Roaming

O2 Business stärkt Mobilfunktarife für Unternehmen

Weitere Artikel zu Security-Management

Spezialist für Penetrationstests

Kalweit ITS nimmt den Mittelstand ins Visier

Cybercrime-Lagebild 2024

Professionalisierte Angriffe treffen Wirtschaft und Verwaltung

Konvergenz von IT- und OT-Sicherheit

EU-Maschinenverordnung fordert Cybersicherheit für Maschinen

Cybersecurity

Das KI-Zeitalter schreibt eigene Sicherheitsgesetze

Priorisierung der Cybersicherheit

NIS2 – Abwarten ist keine Option

Matchmaker+
NFON AG

NFON AG
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
Plusnet GmbH

Plusnet GmbH
HP Deutschland GmbH

HP Deutschland GmbH
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH