Im ersten Quartal dieses Jahres haben die Experten von Kaspersky Lab eine Welle neuer APT-Aktivitäten entdeckt – hauptsächlich in Asien, wo mehr als 30 Prozent der beobachteten Bedrohungsoperationen stattfanden. Auch im Nahen Osten identifizierten die Cybersicherheitsexperten auffällig viele Bedrohungsaktivitäten, bei denen eine Reihe neuer Techniken zum Einsatz kam. Diese und andere Trends behandelt ein aktueller Bericht von Kaspersky Lab über die APT-Bedrohungslage für das erste Quartal.

Im ersten Quartal des Jahres 2018 erkannten die Cybersicherheitsexperten weiterhin Cyberaktivitäten von APT-Gruppen, die unter anderem Russisch, Chinesisch, Englisch und Koreanisch sprechen. Während einige bekannte Akteure keine nennenswerten Aktivitäten zeigten, wurden im asiatischen Raum vermehrt APT-Operationen und neue Bedrohungsakteure wahrgenommen. Dieser Anstieg lässt sich zum Teil am Angriff der Olympic-Destroyer-Malware auf die Olympischen Spiele in Pyeongchang festmachen.

Wichtige Erkenntnisse des Kaspersky-APT-Berichts
Chinesischsprachige Aktivitäten steigen kontinuierlich an; dazu gehört das ShaggyPanther-Cluster, das aktiv auf Regierungseinrichtungen hauptsächlich in Taiwan und Malaysia abzielt sowie CardinalLizard, das im Jahr 2018 vor allem Malaysia als auch die Philippinen, Russland und die Mongolei ins Visier nahm.
APT-Aktivität wurde vor allem in Südasien festgestellt; so wurden pakistanische Militäreinrichtungen von der kürzlich entdeckten Sidewinder-Gruppe angegriffen.
IronHusky APT stellt das Abzielen auf russische militärische Akteure offensichtlich ein und legt nun seinen Fokus auf die Mongolei; Ende Januar 2018 startete der chinesischsprachige Bedrohungsakteur im Vorfeld eines Treffens mit dem Internationalen Währungsfonds (IWF) eine Angriffskampagne gegen mongolische Regierungsorganisationen.
Koreanische Halbinsel bleibt im Fokus: Die Kimsuky-APT-Gruppe, die es auf südkoreanische Denkfabriken und politische Aktivitäten abgesehen hat, erweiterte sein Arsenal mit einem völlig neuen Framework für Cyberspionage und für eine Spear-Phishing-Kampagne. Auch verlagerte sich Bluenoroff, eine Untergruppe der berüchtigten Lazarus Group, auf neue Ziele: darunter Kryptowährungsunternehmen sowie Kassensysteme (Point of Sales/PoS).

Kaspersky Lab stellte darüber hinaus auch im Nahen Osten einen Höchststand der Bedrohungsaktivität fest. So startete StrongPity APT beispielsweise eine Reihe neuer Man-in-the-Middle (MiTM)-Angriffe auf Netzwerke von Internet Service Providern (ISP). Eine weitere hochqualifizierte Gruppe Cyberkrimineller, die Desert Falcons, erschien wieder auf der Bildfläche, um Android-Geräte mit Malware, die zuvor 2014 verwendet wurde, zu infizieren.