![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Symantec hat Angriffe einer mutma\u00dflichen chinesischen ATP-Gruppe aufgedeckt, die seit Oktober 2019 weltweit Angriffe auf Computersysteme japanischer Firmen und deren Tochtergesellschaften versucht und dabei die Zerologon-Schwachstelle ausnutzt. Aktuell ist eine massive weltweite Kampagne im Gange, wobei Automobil-, Pharma- und Maschinenbauunternehmen die Hauptziele sind.<\/p>\n
<\/p>\n
Das Ausma\u00df und die Raffinesse dieser Angriffskampagne deuten darauf hin, dass sie das Werk einer gro\u00dfen und gut ausgestatteten Gruppe ist. Symantec gibt an, das es gen\u00fcgend Beweise daf\u00fcr gibt, dass die ausgekl\u00fcgelten Angriffe der, mutma\u00dflich im chinesischen Staatsauftrag operierenden, ATP-Gruppe Cicada (Zikade) zuzuordnen sind. <\/p>\n Die Gruppe, auch als APT10, Steinpanda oder Cloud Hopper bekannt ist seit 2009 an spionageartigen Operationen beteiligt, und US-Stellen aben die Aktivit\u00e4ten von APT10 mit der chinesischen Regierung in Verbindung gebracht. Die Cicada-Gruppe war in der Vergangenheit daf\u00fcr bekannt, dass sie auf mit japanische Firmen oder mit Japan verbundene Organisationen abzielt. Es wurden in der Vergangenheit auch Managed Service Provider (MSP) ins Visier genommen. <\/p>\n Diese Kampagne wurde von Symantec zum ersten Mal entdeckt, als verd\u00e4chtige DLL-Side-Loading-Aktivit\u00e4ten in einem der Netzwerke eines Kunden eine Warnung der Symantec Cloud Analytics-Technologie ausl\u00f6sten. Diese ist in Symantec Endpoint Security Complete (SESC) verf\u00fcgbar. Diese Aktivit\u00e4t wurde dann von den Symantec Threat Hunter-Analysten \u00fcberpr\u00fcft, bevor sie zur weiteren Analyse an das Symantec-Untersuchungsteam weitergeleitet wurde.<\/p>\n Die ATP-10Gruppe setzt bei dieser Angriffskampagne sowohl \"living-off-the-land\"-Tools (siehe auch<\/a>) als auch benutzerdefinierte Malware ein. Darunter befindet sich auch auch eine spezielle Malware – Backdoor.Hartip <\/em>– die Symantec bisher noch nicht von der Gruppe verwendet wurde. Die Angreifer verwenden bei dieser Kampagne ausgiebig DLL-Side-Loading-Techniken. Zudem wurde auch dabei beobachtet, wie die Angreifer die ZeroLogon-Schwachstelle ausnutzten.<\/p>\n Die sogenannten living-off-the-land-Angriffstechniken (Fileless-Malware) benutzen bereits auf dem Zielsystem befindliche DLLs, um Malware auszuf\u00fchren. Zu living-off-the-land-Angriffen hatte ich hier im Blog k\u00fcrzlich die Blog-Beitr\u00e4ge Sicherheitsbedenken wegen Microsoft Defender Download-Feature<\/a>, Malware kann Microsoft Teams Updater missbrauchen<\/a> und Windows Update kann f\u00fcr Malware-Auslieferung missbraucht werden<\/a>. In den Kommentaren zu diesen Artikeln f\u00fchlten sich Leute immer wieder bem\u00fc\u00dfigt, LOL klein zu reden, so nach dem Motto: Ist ja schon auf dem Rechner, kann nur im Benutzerkontext ausgef\u00fchrt werden. <\/p>\n Die Zerologon-Schwachstelle habe ich hier im Blog ebenfalls ausgiebig beleuchtet (siehe Artikellinks am Beitragsende). Diese Schwachstelle wurde in der ersten Stufe im August 2020 durch Microsoft gepatcht. <\/p>\n<\/blockquote>\n Die APT10-Hacker f\u00fchren diese Kampagne seit etwa einem ganzen Jahr durch, von mindestens Mitte Oktober 2019 bis Anfang Oktober 2020. In einigen F\u00e4llen blieben die APT10-Akteure fast ein ganzes Jahr lang in den Netzwerken ihrer Opfer aktiv und unentdeckt, was zeigt, dass sie \u00fcber die Mittel und die Raffinesse verf\u00fcgen, um ihre b\u00f6sartigen Aktivit\u00e4ten wirksam zu verbergen. Zu den Rechnern, die w\u00e4hrend dieser Angriffskampagne kompromittiert wurden, geh\u00f6rten Dom\u00e4nencontroller und Dateiserver, und es gab Hinweise darauf, dass von einigen der kompromittierten Rechner Dateien abgezogen wurden.<\/p>\n Details lassen sich im Symantec\/Broadcom Blog-Beitrag<\/a> nachlesen. Von Bleeping Computer<\/a>, ZDNet<\/a> und The Register<\/a> gibt es ebenfalls Artikel zum Thema. <\/p>\n \u00c4hnliche Artikel:<\/strong> Windows Server: Zerologon-Sicherheitsl\u00fccke (CVE-2020-1472) erlaubt Domain \u00dcbernahme<\/a> Symantec hat Angriffe einer mutma\u00dflichen chinesischen ATP-Gruppe aufgedeckt, die seit Oktober 2019 weltweit Angriffe auf Computersysteme japanischer Firmen und deren Tochtergesellschaften versucht und dabei die Zerologon-Schwachstelle ausnutzt. Aktuell ist eine massive weltweite Kampagne im Gange, wobei Automobil-, Pharma- und Maschinenbauunternehmen … Weiterlesen In diesem Beitrag<\/a> schreibt Symantec, dass man auf eine gro\u00df angelegte Angriffskampagne gesto\u00dfen sei, die sich gegen mehrere japanische Unternehmen richtet. Darunter seien auch Tochtergesellschaften, die weltweit in bis zu 17 Regionen angesiedelt sind. Es geht um wahrscheinlich um Cyber-Spionage (nachrichtendienstlichen Operation).<\/p>\n
Kampagne offen gelegt<\/h2>\n
\n
Sicherheitsbedenken wegen Microsoft Defender Download-Feature<\/a>
Malware kann Microsoft Teams Updater missbrauchen<\/a>
Windows Update kann f\u00fcr Malware-Auslieferung missbraucht werden<\/a><\/p>\n
CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)<\/a>
Zerologon Exploits werden ausgenutzt, patchen (Windows Server, Samba) ist angesagt<\/a>
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a>
Achtung: Windows Domain Controller erzeugen pl\u00f6tzlich EventID 5829-Warnungen (11.8.2020)<\/a>
Franz\u00f6sische IT-Firma Sopra Steria von Ryuk-Ransomware befallen, Zerologon ausgenutzt?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"