Metadaten entlarven: Hinter DarkGate stecken Cyberkriminelle aus Vietnam
Pressemitteilung | 20. Oktober 2023
WithSecure-Studie bringt letzte DarkGate-Angriffe in Großbritannien, den USA und Indien mit Akteuren aus Vietnam in Verbindung. Wie die Metadaten verraten, sind es dieselben, die mit DuckTail auch Meta-Business-Konten kapern.
Die Cyberexperten von WithSecure (vormals F-Secure Business) führen die jüngsten Angriffe mit DarkGate-Malware auf eine aktive Gruppe von Cyberkriminellen mit Standort Vietnam zurück. Dabei weisen mannigfaltige nicht-technische Indikatoren wie Köderdateien und -themen, das Targeting, die Verbreitungsmethoden und insbesondere Metadaten sogar darauf hin, dass es sich um die gleiche Gruppe handelt, die etwa auch den Infostealer DuckTail verwendet, den WithSecure bereits seit etwa anderthalb Jahren verfolgt.
„Die DarkGate-Angriffe weisen eindeutige Übereinstimmungen zu Angriffen mit Infostealern und Malware wie DuckTail auf“, so Stephen Robinson, Senior Threat Intelligence Analyst bei WithSecure. „Wir sind uns sicher: Hinter vielen der Operationen, die auf Metas Business-Konten abzielen, steht am Ende ein und derselbe Akteur.“
DarkGate ist ein Remote-Access-Trojaner (RAT), der seit mindestens 2018 eingesetzt wird und Cyberkriminellen derzeit als Malware-as-a-Service (MaaS) zur Verfügung steht. Seine Fähigkeiten und Nutzungsmöglichkeiten sind vielfältig; eine Verwendung wurde bereits für Informationsdiebstahl, Kryptojacking und Ransomware-Kampagnen beobachtet.
WithSecure begann mit der Untersuchung von DarkGate, nachdem das Unternehmen mehrere Infektionsversuche bei Unternehmen in Großbritannien, den USA und Indien festgestellt hatte. Die verwendeten Köder und bösartigen Dateien wiesen identifizierbare Metadaten der LNK-Datei, von MSI-Dateien sowie mit dem Grafikdesign-Tool Canva erstellten PDFs auf. All dies brachte die Forschenden von WithSecure auf die bereits bekannte Spur nach Fernost.
Denn die verwendeten spezifischen Tools alleine verraten längst nicht mehr, wo sich die Angreifer befinden. Ein regelrechter Cybercrime-Marktplatz mit einem wachsenden Angebot an entsprechenden Services, die von verschiedenen Bedrohungsakteuren in Anspruch genommen werden, macht die Analyse zunehmend schwierig.
„DarkGate gibt es schon seit langem und wird von vielen Cyberkriminellen für unterschiedliche Zwecke genutzt, nicht nur von dieser Gruppe oder diesem Cluster in Vietnam“, so Robinson. „Hinzu kommt, dass mehrere Tools für dieselbe Operation verwendet werden können. Dadurch bleibt das wahre Ausmaß von Angriffen bei einer rein Malware-basierten Analyse verborgen."
Die vollständige Studie ist hier verfügbar.
WithSecure™ Pressekontakt
Berk Kutsal, Senior PR Manager, DACH
+49 179 54 74 353
berk.kutsal@withsecure.com
About WithSecure™
WithSecure™, formerly F-Secure Business, is cyber security’s reliable partner. IT service providers, MSSPs and businesses – along with the largest financial institutions, manufacturers, and thousands of the world’s most advanced communications and technology providers – trust us for outcome-based cyber security that protects and enables their operations.
Our AI-driven protection secures endpoints and cloud collaboration, and our intelligent detection and response are powered by experts who identify business risks by proactively hunting for threats and confronting live attacks. Our consultants partner with enterprises and tech challengers to build resilience through evidence-based security advice. With more than 30 years of experience in building technology that meets business objectives, we’ve built our portfolio to grow with our partners through flexible commercial models.
WithSecure™ Corporation was founded in 1988, and is listed on NASDAQ OMX Helsinki Ltd.