Die auf Netzwerk- und Enterprise-Security fokussierte Palo Alto Networks mit Sitz im kalifornischen Santa Clara meldet neue Cyberangriffe der Hackergruppe "Subaat", die von Experten seit 2017 beobachtet wird. Neu ist demnach die Erkenntnis, dass die Angreifer wohl Teil einer grösseren Gruppierung seien, die bereits zuvor für gezielte Angriffe gegen Regierungsorganisationen weltweit verantwortlich war. Auf das Konto dieser sogenannten "Gorgon-Gruppe" gingen bereits viele Angriffe mit gewöhnlichem cyberkriminellem Hintergrund als auch gezielte Angriffe auf Staaten bzw. Regierungsorganisationen.

Seit Anfang 2018 identifizierte Palo Alto Networks laut Mitteilung eine umfassende Cyberattacke gegen Regierungsorganisationen in Grossbritannien, Spanien, Russland und den USA. Während dieser Zeit führte die Gruppe auch andere kriminelle Operationen gegen Ziele auf der ganzen Welt durch. Die Aktivitäten seien deshalb interessant, weil die Gorgon-Gruppe neben den bei Cyberangriffen gängigen Command-and-Control-Domains (C2) auch URL-Verkürzungsdienste zum Herunterladen von Schadcode einsetze. Auf einem Grossteil der C2-Infrastruktur haben IT-Sicherheitsprofis demnach mehrere Samples von Crimeware-Familien identifiziert. RATs wie NjRat und Infostealer wie Lokibot nutzten dabei die gleiche C2-Infrastruktur wie bei den gezielten Angriffen.

Während der Untersuchung der Domains und der Infrastruktur, die für das Phishing verwendet werden, hat Palo Alto Networks festgestellt, dass die Gruppe mehrere gängige Sicherheitslücken nutzt. Die Analyse der Daten habe es ermöglicht, einige Schlussfolgerungen zu ziehen: - Mehrere einzigartige Domains werden sowohl für Cyberkriminalität als auch für gezielte Angriffe eingesetzt. - Der Anteil der gewöhnlichen cyberkriminellen Aktivitäten ist wie erwartet höher als der Anteil gezielter Angriffe. - Es gibt kein spezifisches Muster, wann gezielte Angriffe stattfinden. Die Domains können zunächst für gängige cyberkriminelle Aktivitäten verwendet und dann schnell und mit wenig Vorwarnung für einen gezielten Angriff genutzt werden.

Die Gorgon-Gruppe ist nicht die erste Gruppe von Cyberkriminellen, die zweigleisig fährt. Trotz eigener Fehler, die der Gruppe unterlaufen und den Sicherheitsexperten einen Einblick in die Angriffsstrategien ermöglichten, ist sie dennoch erstaunlich effektiv.

Mehr Details dazu unter: https://researchcenter.paloaltonetworks.com/2018/08/unit42-gorgon-group-...