Im Rahmen dieser Kampagne wurden zudem Angriffe auf russischsprachige Finanzanalysten festgestellt, die für globale Finanzdienstleister und Telekommunikationsunternehmen in Russland arbeiten. Hierbei handelt es sich wahrscheinlich um Kollateralschäden, die auf die Taktik der Angreifer zurückzuführen sind.
Bei den Angriffen wird PlugX eingesetzt, ein RAT (Remote Access Trojan), d. h. ein Fernzugriff-Trojaner, der häufig für zielgerichtete Angriffe verwendet wird. Proofpoint verfolgt den Angreifer, bei dem es sich vermutlich um die als „TA459“ bekannte Gruppe handelt, die von China aus operiert. Von dieser Gruppe gingen bereits in der Vergangenheit Angriffe auf verschiedene militärische Einrichtungen in Zentralasien aus. Die aktuelle Kampagne des Angreifers wird nun seit gut zwei Monaten geführt. Jedoch gibt es Hinweise darauf, dass dieselbe Gruppe bereits seit 2013 unter Verwendung anderer Backdoors wie Saker, Netbot und DarkStRat aktiv ist.
Bei den aktuellen Angriffen handelt es sich um Spear-Phishing-E-Mails, mit denen die Sicherheitslücken von Dokumentanhängen in Microsoft Word und von Links, die auf RAR-Archive verweisen, genutzt werden. Die E-Mails, Dateinamen und Köder sind in der Regel in russischer Sprache verfasst.
Bei den Angriffen wird PlugX eingesetzt, ein RAT (Remote Access Trojan), d. h. ein Fernzugriff-Trojaner, der häufig für zielgerichtete Angriffe verwendet wird. Proofpoint verfolgt den Angreifer, bei dem es sich vermutlich um die als „TA459“ bekannte Gruppe handelt, die von China aus operiert. Von dieser Gruppe gingen bereits in der Vergangenheit Angriffe auf verschiedene militärische Einrichtungen in Zentralasien aus. Die aktuelle Kampagne des Angreifers wird nun seit gut zwei Monaten geführt. Jedoch gibt es Hinweise darauf, dass dieselbe Gruppe bereits seit 2013 unter Verwendung anderer Backdoors wie Saker, Netbot und DarkStRat aktiv ist.
Bei den aktuellen Angriffen handelt es sich um Spear-Phishing-E-Mails, mit denen die Sicherheitslücken von Dokumentanhängen in Microsoft Word und von Links, die auf RAR-Archive verweisen, genutzt werden. Die E-Mails, Dateinamen und Köder sind in der Regel in russischer Sprache verfasst.
