SecBoard
Zurück zur Übersicht

Russian hackers trojanize WebEx, Zoom apps to push Starland malware

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Russische Hacker der Gruppe UAT-11795 verbreiten über manipulierte WebEx- und Zoom-Installationsdateien die neue Starland RAT Malware. Ziel ist der Diebstahl von Zugangsdaten und Kryptowährungen. Nutzer sollten Software nur von offiziellen Quellen herunterladen und auf verdächtige Aktivitäten achten.

Kurzfassung

Die russische Hackergruppe UAT-11795 verbreitet die neue Starland RAT Malware über manipulierte Installationsdateien von WebEx und Zoom. Ziel der Kampagne ist der Diebstahl von Zugangsdaten und Kryptowährungen. Nutzer sollten Software ausschließlich von offiziellen Quellen herunterladen, um eine Infektion zu vermeiden.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Nutzer von WebEx und Zoom, insbesondere im Finanzsektor, sind betroffen, wenn sie Software von inoffiziellen Quellen herunterladen.

Warum relevant

Die Kompromittierung von Kommunikationsplattformen wie WebEx und Zoom kann zum Diebstahl sensibler Unternehmensdaten und finanzieller Vermögenswerte führen. Dies untergräbt das Vertrauen in kritische Geschäftsanwendungen und kann erhebliche finanzielle und reputative Schäden verursachen.

Realistisches Worst Case

Im schlimmsten Fall könnten gestohlene Zugangsdaten zu weiteren Systemkompromittierungen führen, während gestohlene Kryptowährungen direkte finanzielle Verluste bedeuten. Die Starland RAT könnte zudem eine dauerhafte Hintertür für weitere Angriffe etablieren.

Handlungsempfehlung

Organisationen sollten Richtlinien für den Software-Download durchsetzen, die ausschließlich offizielle und verifizierte Quellen zulassen. Mitarbeiter müssen für die Risiken von Software aus inoffiziellen Quellen sensibilisiert werden. Überprüfen Sie die Integrität von Installationsdateien vor der Ausführung.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob in Ihrer Organisation Software von nicht-offiziellen Quellen heruntergeladen und installiert wird.
  • Stellen Sie sicher, dass Endpunkt-Sicherheitslösungen (EDR/AV) so konfiguriert sind, dass sie bekannte RAT-Signaturen und verdächtiges Verhalten erkennen und blockieren.
  • Überprüfen Sie Netzwerk-Logs auf ungewöhnliche ausgehende Verbindungen von WebEx- oder Zoom-Installationen, die auf eine RAT-Kommunikation hindeuten könnten.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighRussische Hacker der Gruppe UAT-11795 verbreiten über manipulierte WebEx- und Zoom-Installationsdateien die neue Starland RAT Malware.
ExecutionT1204 User ExecutionHighNutzer sollten Software nur von offiziellen Quellen herunterladen und auf verdächtige Aktivitäten achten.
PersistenceT1547 Boot or Logon Autostart ExecutionLowdie neue Starland RAT Malware
Credential AccessT1003 OS Credential DumpingHighZiel ist der Diebstahl von Zugangsdaten
CollectionT1083 File and Directory DiscoveryLowZiel ist der Diebstahl von [...] Kryptowährungen.
ExfiltrationT1041 Exfiltration Over C2 ChannelLowdie neue Starland RAT Malware
Offene Punkte
  • Es wird nicht spezifiziert, wie die manipulierten Installationsdateien verbreitet werden (z.B. per E-Mail, bösartige Websites).
  • Es werden keine spezifischen IOCs (Indicators of Compromise) für die Starland RAT Malware genannt.
  • Es werden keine spezifischen technischen Details zur Funktionsweise der Starland RAT Malware oder ihrer Persistenzmechanismen genannt.
  • Es wird nicht spezifiziert, welche spezifischen Kryptowährungen oder Wallets ins Visier genommen werden.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Reconnaissance detektieren?
  • Können wir Resource Development detektieren?

MITRE ATT&CK Kill Chain (4 Techniken)

Themen
Security