Die Experten der G DATA SecurityLabs haben eine Spionage-Kampagne aufgedeckt: Operation „TooHash“ ist eine gezielte Cyber-Attacke auf Unternehmen und Organisationen. Der Angriff hat das Ziel, sensible Informationen vom anvisierten Unternehmen zu stehlen. Mit einem sogenannten „Spear Phishing“-Ansatz, einer verfeinerten Art des Phishings mit einem gezielten persönlichen Motiv, haben die Angreifer E-Mails mit infizierten Microsoft Office-Dokumenten im Anhang verschickt. Speziell manipulierte Dokumente, getarnt als Bewerbungen, gingen vermutlich an die Personalabteilungen der betroffenen Unternehmen. Der Großteil der entdeckten Dateien stammt aus Taiwan. Durch die Analyse von Schriftzeichen gehen die Sicherheitsexperten davon aus, dass die Spionagesoftware auch gegen Ziele in anderen Regionen Großchinas eingesetzt wurde, da Teile der involvierten Dokumente in chinesischen Kurzzeichen geschrieben sind, die hauptsächlich auf dem chinesischen Festland benutzt werden. G DATA Sicherheitslösungen erkennen das Spionageprogramm als Win32.Trojan.Cohhoc.A und Win32.Trojan.DirectsX.A.
„Der Schadcode im E-Mail Anhang nutzt gezielt eine Sicherheitslücke in Microsoft Office aus und lädt ein Fernsteuerungs-Tool auf den angegriffenen Computer herunter“, erklärt Ralf Benzmüller, Leiter der G DATA SecurityLabs. „In dieser Kampagne haben wir zwei verschiedene Schadprogramme identifiziert. Beide beinhalten etablierte Cyber-Spionage-Komponenten, wie automatische Code-Ausführung, Auflistung von Dateien, Datendiebstahl und mehr.“
Server steuern die infizierten Computer
In ihrer Analyse haben die Sicherheitsexperten der G DATA SecurityLabs mehr als 75 Kontroll-Server gefunden, die dazu dienen, die infizierten PCs zu verwalten. Der Großteil der Server befindet sich in Hongkong und den USA. Die Sprache der Administrationskonsole, die die Angreifer nutzen, um die infizierten Systeme zu steuern, war zum Teil in Chinesisch und teilweise in Englisch geschrieben.
Datendiebstahl ist ein lukratives Geschäft
Insbesondere im geschäftlichen Umfeld sind wertvolle Konstruktionspläne, Kundendaten, Business-Pläne, E-Mails und weitere sensible Informationen in Unternehmen für Spione ein begehrtes Diebesgut. Abnehmer für diese gestohlenen Daten sind oft schnell gefunden, seien es Konkurrenzunternehmen oder Geheimdienste. Ein Verlust der Daten kann für das betroffene Unternehmen den wirtschaftlichen und finanziellen Ruin bedeuten.
Eine umfassende Analyse der Spionagesoftware gibt es im G DATA SecurityBlog: https://blog.gdata.de/artikel/operation-toohash-wie-gezielte-angriffe-funktionieren/
„Der Schadcode im E-Mail Anhang nutzt gezielt eine Sicherheitslücke in Microsoft Office aus und lädt ein Fernsteuerungs-Tool auf den angegriffenen Computer herunter“, erklärt Ralf Benzmüller, Leiter der G DATA SecurityLabs. „In dieser Kampagne haben wir zwei verschiedene Schadprogramme identifiziert. Beide beinhalten etablierte Cyber-Spionage-Komponenten, wie automatische Code-Ausführung, Auflistung von Dateien, Datendiebstahl und mehr.“
Server steuern die infizierten Computer
In ihrer Analyse haben die Sicherheitsexperten der G DATA SecurityLabs mehr als 75 Kontroll-Server gefunden, die dazu dienen, die infizierten PCs zu verwalten. Der Großteil der Server befindet sich in Hongkong und den USA. Die Sprache der Administrationskonsole, die die Angreifer nutzen, um die infizierten Systeme zu steuern, war zum Teil in Chinesisch und teilweise in Englisch geschrieben.
Datendiebstahl ist ein lukratives Geschäft
Insbesondere im geschäftlichen Umfeld sind wertvolle Konstruktionspläne, Kundendaten, Business-Pläne, E-Mails und weitere sensible Informationen in Unternehmen für Spione ein begehrtes Diebesgut. Abnehmer für diese gestohlenen Daten sind oft schnell gefunden, seien es Konkurrenzunternehmen oder Geheimdienste. Ein Verlust der Daten kann für das betroffene Unternehmen den wirtschaftlichen und finanziellen Ruin bedeuten.
Eine umfassende Analyse der Spionagesoftware gibt es im G DATA SecurityBlog: https://blog.gdata.de/artikel/operation-toohash-wie-gezielte-angriffe-funktionieren/
