"TA585": Neue Cybercrime-Profis auf Beutezug in Deutschland

Security-Experten warnen vor der neu entdeckten Hackergruppe "TA585", die hochprofessionell agiert, ihre komplette Angriffskette mit mehreren Einfallsvektoren selbst kontrolliert und mit Tools wie der gefährlichen Hybrid-Malware "MonsterV2" gezielt lohnende Ziele in Deutschland und anderen Industrieländern angreift.

Die Hackergruppe TA585 nutzt gerne gut getarnte ClickFix-Angriffe als Einfallstor für die Malware MonsterV2 (Foto: Proofpoint)

Die Cybercrime-Szene baut seit einigen Jahren immer professionellere Strukturen und das entsprechende Knowhow auf. Einen weiteren Beleg für diese Entwicklung und die von ihr ausgehenden Gefahren haben nun die IT-Sicherheitsexperten von Proofpoint aufgedeckt. Mit "TA585" konnten sie eine neue Gruppe von Cybercrime-Akteuren identifizieren, die aktuell auf verschiedenen Wegen Verbraucher und Unternehmen angreifen. Dass es sich dabei nicht etwa nur um eine weitere Gruppe von Mitläufern handelt, zeigt sich unter anderem daran, dass sie Angriffskette vollständig selbst kontrolliert. Anstatt für die Verteilung ihrer Schädlinge einschlägige Miet-Plattformen und -Dienste zu nutzen, betreibt TA585 eine eigene Infrastruktur und übernimmt alle Schritte von der Domainregistrierung über die Hosting-Umgebung bis hin zur Verbreitung und Installation der Malware selbst. So können sie ihre Angriffe besonders schnell und flexibel planen, durchführen und anpassen. Zugleich wird es dadurch schwieriger, sie zu entdecken und verfolgen.

Auch sonst sind die TA585-Hintermänner technisch auf dem neusten Stand. Das zeigt sich beispielsweise daran, dass sie für den initialen Zugang meist die ClickFix-Methode einsetzen, bei der potenzielle Opfer mittels falscher CAPTCHAs dazu verleitet werden, manuell PowerShell-Befehle auszuführen. Das erhöht nicht nur die Erfolgswahrscheinlichkeit, zugleich werden auf diesem Angriffsweg klassische E-Mail-Filter umgangen und besonders schwerwiegende Infektionen möglich. Dass TA585 dieses Verfahren sowohl auf dem klassischen Weg über kompromittierte Websites fährt, als auch über individualisierte Pfade wie gefälschte Behörden-E-Mails und manipulierte GitHub-Benachrichtigungen, deutet darauf hin, dass sich die Attacken bewusst gegen hochwertige Ziele richten.

Finanz- und Tech-Unternehmen im Fadenkreuz

Besonders gefährdet sind den Experten zufolge Branchen mit hohem Datenwert wie Finanzdienstleister, Buchhaltungsfirmen und Technologieunternehmen, gegen die TA585 gerade in Deutschland und anderen wirtschaftsstarken westlichen Industrienationen Angriffe startet. Um sich gegen das Eindringen der Hacker mit ClickFix zu schützen, sollen Unternehmen ihre Mitarbeiter entsprechend sensibilisieren und die Ausführung von PowerShell-Befehlen durch nicht privilegierte Nutzer verhindern.

Denn gelingt den Akteuren dieser erste Schritt, kommt anschließend häufig die besonders gefährliche hybride Schadsoftware MonsterV2 zum Einsatz, die Funktionen eines Remote-Access-Trojaners, eines Loaders und eines Stealers in sich vereint. Damit kann sie genauso dafür genutzt werden, Daten, Passwörter, Kreditkarteninformationen und Krypto-Wallets zu stehlen, wie Fernzugriffe einzurichten und weitere Schadsoftware nachzuladen, oder auch um den Desktop und die Webcam des Opfers zu überwachen. Auf diesem Wege können die Angreifer also nicht nur allerhand Daten stehlen, sondern sich auch weitreichende Privilegien verschaffen und so eine weitreichende Kontrolle über infizierte Systeme übernehmen. Dabei tarnt und schützt sich Monster V2 effizient durch Maßnahmen wie integrierte Anti-Analyse-Mechanismen und eine verschlüsselte Kommunikation mit den Command-and-Control-Servern.

Diese Vielfalt der Optionen hat nicht nur für die Opfer ihren Preis. Wie Proofpoint berichtet, wird MonsterV2 als vergleichsweise teure "Malware-as-a-Service" angeboten und von diversen Hackergruppen genutzt. Auffällig ist, dass die Schadsoftware offenbar eine regionale Komponente beinhaltet. Während Deutschland offenbar zu den präferierten Zielgebieten gehört, vermeidet MonsterV2 auf der anderen Seite gezielt Infektionen in Ländern der Gemeinschaft Unabhängiger Staaten (GUS). Das deutet auf eine Herkunft und möglicherweise Unterstützung aus dem Dunstkreis Russlands hin. Zudem weist Proofpoint darauf hin, dass es einen direkten Zusammenhang zwischen der Zerschlagung etablierter Tools wie zuletzt Lumma Stealer und dem darauf folgenden Auftauchen neuer, noch gefährlicherer und variabler einsetzbarer Malware wie MonsterV2 gibt.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden