Naher Osten: Äußerst zielgerichtete Cyber-Angriffe durch TA402

Cyber-Kriminelle der Gruppe TA402 – Molerats – attackieren Regierungen und Behörden

[datensicherheit.de, 18.06.2021] Laut einer aktuellen Meldung von Proofpoint läuft derzeit im Nahen Osten eine Kampagne der Gruppe „TA402“ (Threat Actor 402) gegen Regierungen und Behörden sowie internationale, in der Region tätige Regierungsorganisationen. Diese Gruppe – auch bekannt unter dem Namen „Molerats“ – versuche dabei mit Hilfe der Malware „LastConn“ illegal an Informationen zu gelangen. „Als Köder kommen hier politische und militärische Themen zur Anwendung, die sich mit den dortigen Konflikten beschäftigen.“ Anwender sollen demnach zum Öffnen von Dateianhängen und dem Klick auf Links bewegt werden, um dadurch die Malware unfreiwillig zu installieren.

TA402 ist eine APT-Gruppe und zielt auf geopolitische Themen der Region

„TA402“ sei eine sogenannte APT-Gruppe (Advanced Persistent Threats) aus dem Nahen Osten, welche häufig auf Einrichtungen in Israel und Palästina sowie in anderen Regionen des Nahen Ostens abziele. Bei den im Jahr 2021 identifizierten Kampagnen habe „TA402“ geopolitische Themen dieser Region, darunter den anhaltenden Konflikt im Gaza-Streifen ausgenutzt.

LastConn der TA402-Gruppe mit hoher Wahrscheinlichkeit aktualisierte Version der SharpStage-Malware

Die von Proofpoint entdeckte Malware ermögliche es den Cyber-Kriminellen, über die infizierten Systeme wichtige Informationen in die Hände zu bekommen und Daten zu stehlen. Proofpoint-Forscher gehen nach eigenen Angaben davon aus, dass es sich bei „LastConn“ mit hoher Wahrscheinlichkeit um eine aktualisierte Version der „SharpStage“-Malware handele, welche erstmals im Dezember 2020 von Cybereason gemeldet worden sei.

TA402 umgeht automatisierte Bedrohungsanalyse

„TA402“ setze dabei auf mehrere Mechanismen, um eine automatisierte Bedrohungsanalyse zu umgehen, darunter sogenanntes Geofencing auf Basis von IP-Adressen, die Beschränkung auf Computer mit installierten arabischen Sprachpaketen und passwortgeschützte Archivdateien zur Verteilung der Malware. „Das bedeutet, dass die Gruppe sehr gezielt einzelne Interessensgruppen und Parteien in der Region adressiert“, so Proofpoint.

Weitere Informationen zum Thema:

datensicherheit.de, 02.11.2020
Neuer Proofpoint-Report: Healthcare Threat Landscape

proofpoint, Konstantin Klinger, Dennis Schwarz, and Selena Larson, 17.06.2021
New TA402 Molerats Malware Targets Governments in the Middle East