Pressemitteilungen

Avast identifiziert APT-Gruppe, die Regierungsstellen in Ostasien im Visier hat

Die Analyse deutet darauf hin, dass die APT-Gruppe LuckyMouse hinter dem Angriff stecken könnte, und dass sie neue und fortschrittliche Taktiken anwendet, um auf sensible Regierungsdaten zuzugreifen.

Die Analyse deutet darauf hin, dass die APT-Gruppe LuckyMouse hinter dem Angriff stecken könnte, und dass sie neue und fortschrittliche Taktiken anwendet, um auf sensible Regierungsdaten zuzugreifen.


Avast (LSE:AVST), ein weltweit führender Anbieter von Lösungen für digitale Sicherheit und Privatsphäre, hat eine neue Kampagne von sogenannten Advanced Persistent Threats (APT) identifiziert, die sich gegen Regierungsbehörden und ein staatliches Rechenzentrum in der Mongolei richtet. 

Analysten der Avast Threat Intelligence fanden heraus, dass die APT-Gruppe Hintertüren und Keylogger genutzt hat, um langfristig Zugang zu Netzwerken der mongolischen Regierung zu erhalten. Sie gehen davon aus, dass die von Experten in China verortete Hackergruppe LuckyMouse, auch bekannt als EmissaryPanda und APT27, wahrscheinlich hinter der APT-Kampagne steckt. Die Gruppe, die in der Vergangenheit bereits Ziele in der Region angegriffen hat, ist dafür bekannt, dass sie hinter nationalen Ressourcen und politischen Informationen von Ländern in der näheren Umgebung her ist.

Nach Recherchen und Analysen stellten die Avast-Forscher fest, dass die Gruppe ihre Taktik aktualisiert hat. Für diesen Angriff nutzte die Gruppe sowohl Keylogger als auch Hintertüren, um eine Vielzahl von Tools hochzuladen, mit denen sie das Zielnetzwerk scannen und die Zugangsdaten abgreifen konnten. Sie nutzten diese dann, um auf sensible Regierungsdaten zuzugreifen.

Zu den von der APT-Gruppe angewandten Taktiken für den Zugriff auf die Infrastruktur von Regierungseinrichtungen gehört der Zugriff auf ein anfälliges Unternehmen, das Dienstleistungen für die Regierung erbringt, und zwar über einen böswilligen E-Mail-Anhang, der über eine nicht gepatchte CVE-2017-11882-Schwachstelle verseuchte Dokumente einschleust. 

„Die APT-Gruppe LuckyMouse ist seit Herbst 2017 aktiv und konnte sich in den letzten zwei Jahren der Aufmerksamkeit von Avast entziehen, indem sie ihre Techniken weiterentwickelt und ihre Taktik deutlich geändert hat. Wir haben ihre neue Vorgehensweise identifiziert und konnten so die Kampagne gegen die mongolische Regierung aufdecken und zeigen, wie die Gruppe ihre Angriffe weiterentwickelt hat, um langfristig Zugang zu sensiblen Daten zu erhalten”, sagt Luigino Camastra, Malware-Researcher bei Avast. 

Eine detaillierte technische Zusammenfassung finden Sie auf dem Avast Threat Intelligence Blog Decoded.