Wirtschaftsspionagekampagne von TA413

[post-views]
September 07, 2020 · 2 min zu lesen
Wirtschaftsspionagekampagne von TA413

Der Einsatz von Ködern im Zusammenhang mit COVID-19 wird bereits sowohl unter finanziell motivierten Gruppen als auch bei staatlich unterstützten Cyber-Spionageeinheiten als gängige Praxis wahrgenommen. Forscher veröffentlichten letzte Woche einen Bericht über eine weitere Gruppe, die COVID-19-Themen in Phishing-E-Mails seit sechs Monaten einsetzt, um ihr neues Tool zu verbreiten. Ja, wir sprechen von der chinesischen APT-Gruppe TA413, die sich auf Kampagnen zur Wirtschaftsspionage spezialisiert hat, die sich gegen gemeinnützige Forschungseinrichtungen, europäische diplomatische und gesetzgebende Körperschaften sowie internationale Organisationen im Bereich der Wirtschaftspolitik richten.

Gegner verwenden eine benutzerdefinierte Malware namens Sepulcher. Bisher ist dies die einzige Bedrohungsakteur, der sie einsetzt, aber angesichts der weit verbreiteten Praxis unter chinesischen Gruppen, ihre Werkzeuge zu teilen, könnte nach der Veröffentlichung des Berichtsdiese Malware auch im Arsenal anderer APT-Gruppen auftauchen. Sepulcher ist ein Remote-Access-Trojaner, der in der Lage ist, Aufklärungsarbeiten durchzuführen: Er kann Informationen über Laufwerke, Dateiinformationen, Verzeichnisse Statistiken, Verzeichnispfade, Verzeichnisinhalte, laufende Prozesse und Dienste erlangen. Er kann auch Verzeichnisse erstellen, Verzeichnisse und Dateien löschen, eine Shell spawnen, um Befehle auszuführen, einen Prozess beenden und mehr.

Die von Osman Demir veröffentlichte Threat-Hunting-Regel erkennt bösartige Aktivitäten von TA413 und die von der Gruppe in Cyber-Spionagekampagnen verwendete Sepulcher-Malware:

https://tdm.socprime.com/tdm/info/WE9tcCoWqy2c/NE07U3QBQAH5UgbBBk2p/?p=1

 

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Initialer Zugriff, Persistenz, Privilegieneskalation

Techniken: Neuer Dienst (E1050), Spearphishing-Anhang (T1193)


Bereit, um SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Programm bei um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.

 

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Telychko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Telychko Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten 4 min zu lesen Neueste Bedrohungen Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten by Veronika Telychko
Alle Nachrichten