Russian hackers trojanize WebEx, Zoom apps to push Starland malware
Russische Hacker der Gruppe UAT-11795 verbreiten über manipulierte WebEx- und Zoom-Installationsdateien die neue Starland RAT Malware. Ziel ist der Diebstahl von Zugangsdaten und Kryptowährungen. Nutzer sollten Software nur von offiziellen Quellen herunterladen und auf verdächtige Aktivitäten achten.
Die russische Hackergruppe UAT-11795 verbreitet die neue Starland RAT Malware über manipulierte Installationsdateien von WebEx und Zoom. Ziel der Kampagne ist der Diebstahl von Zugangsdaten und Kryptowährungen. Nutzer sollten Software ausschließlich von offiziellen Quellen herunterladen, um eine Infektion zu vermeiden.
Nutzer von WebEx und Zoom, insbesondere im Finanzsektor, sind betroffen, wenn sie Software von inoffiziellen Quellen herunterladen.
Die Kompromittierung von Kommunikationsplattformen wie WebEx und Zoom kann zum Diebstahl sensibler Unternehmensdaten und finanzieller Vermögenswerte führen. Dies untergräbt das Vertrauen in kritische Geschäftsanwendungen und kann erhebliche finanzielle und reputative Schäden verursachen.
Im schlimmsten Fall könnten gestohlene Zugangsdaten zu weiteren Systemkompromittierungen führen, während gestohlene Kryptowährungen direkte finanzielle Verluste bedeuten. Die Starland RAT könnte zudem eine dauerhafte Hintertür für weitere Angriffe etablieren.
Organisationen sollten Richtlinien für den Software-Download durchsetzen, die ausschließlich offizielle und verifizierte Quellen zulassen. Mitarbeiter müssen für die Risiken von Software aus inoffiziellen Quellen sensibilisiert werden. Überprüfen Sie die Integrität von Installationsdateien vor der Ausführung.
- ▸Überprüfen Sie, ob in Ihrer Organisation Software von nicht-offiziellen Quellen heruntergeladen und installiert wird.
- ▸Stellen Sie sicher, dass Endpunkt-Sicherheitslösungen (EDR/AV) so konfiguriert sind, dass sie bekannte RAT-Signaturen und verdächtiges Verhalten erkennen und blockieren.
- ▸Überprüfen Sie Netzwerk-Logs auf ungewöhnliche ausgehende Verbindungen von WebEx- oder Zoom-Installationen, die auf eine RAT-Kommunikation hindeuten könnten.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Russische Hacker der Gruppe UAT-11795 verbreiten über manipulierte WebEx- und Zoom-Installationsdateien die neue Starland RAT Malware. |
| Execution | T1204 User Execution | High | Nutzer sollten Software nur von offiziellen Quellen herunterladen und auf verdächtige Aktivitäten achten. |
| Persistence | T1547 Boot or Logon Autostart Execution | Low | die neue Starland RAT Malware |
| Credential Access | T1003 OS Credential Dumping | High | Ziel ist der Diebstahl von Zugangsdaten |
| Collection | T1083 File and Directory Discovery | Low | Ziel ist der Diebstahl von [...] Kryptowährungen. |
| Exfiltration | T1041 Exfiltration Over C2 Channel | Low | die neue Starland RAT Malware |
- Es wird nicht spezifiziert, wie die manipulierten Installationsdateien verbreitet werden (z.B. per E-Mail, bösartige Websites).
- Es werden keine spezifischen IOCs (Indicators of Compromise) für die Starland RAT Malware genannt.
- Es werden keine spezifischen technischen Details zur Funktionsweise der Starland RAT Malware oder ihrer Persistenzmechanismen genannt.
- Es wird nicht spezifiziert, welche spezifischen Kryptowährungen oder Wallets ins Visier genommen werden.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Können wir Reconnaissance detektieren?
- Können wir Resource Development detektieren?