Bedrohungsakteur „ModifiedElephant“ belastet mit gefälschten Beweisen

Die Sicherheitsexperten von SentinelLabs, der Sicherheitsabteilung von Sentinelone, haben Nachforschungen zu einer bisher unbekannten Cybergruppe, die nun den Namen „ModifiedElephant“ erhalten hat, betrieben. Die Untersuchungen ergaben, dass dieser Bedrohungsakteur bereits seit zehn Jahren gegen bestimmte Gruppen und Einzelpersonen – vor allem in Indien – Angriffe fährt. Er entzog sich lange der Aufmerksamkeit der Forschung und damit seiner Entdeckung, da er nur in begrenztem Umfang operiert, seine Werkzeuge technisch unauffällig sind und er mit engem regionalen Fokus arbeitet. Interessant ist hingegen die Art und Weise wie die Gruppe agiert und die Ziele, die sie verfolgt.

 

Ziele und Zwecke von ModifiedElephant

Das Ziel von ModifiedElephant ist eine langfristige Überwachung, die manchmal mit dem Einschleusen von „Beweisen“ auf den Computern ihrer Ziele endet. Dabei handelt es sich zumeist um gefälschte oder manipulierte Dateien, die die Zielperson in bestimmten Verbrechen belasten.

Nach sorgfältiger Überprüfung der Kampagnen der Angreifer in den letzten zehn Jahren wurden Hunderte von Gruppen und Einzelpersonen identifiziert, die das Ziel von ModifiedElephant-Phishing-Kampagnen waren. Ein prominentes Beispiel stellt der maoistische Aktivist Rona Wilson dar, der im Jahr 2018 aufgrund angeblicher Beweise für einen geplanten Umsturz der indischen Regierung verhaftet wurde, Startpunkt des weltweit für Aufsehen erregenden Bhima-Koregaon-Falles.

Die Hauptziele dieser Cyberspionage-Angriffe sind Menschenrechtsaktivisten, Journalisten, Akademiker und Juristen. In den letzten zehn Jahren haben die Betreiber von ModifiedElephant versucht, ihre Ziele über Spearphishing-E-Mails mit bösartigen Dateianhängen zu infizieren, wobei sich ihre Techniken im Laufe der Zeit weiterentwickelt haben.

ModifiedElephant nutzte immer wieder kostenlose E-Mail-Anbieter wie Gmail und Yahoo, um seine Kampagnen durchzuführen. Die Phishing-E-Mails nutzen zahlreiche Methoden, um den Anschein von Legitimität zu erwecken. Dazu gehören gefälschte Inhalte mit einer Weiterleitungshistorie, die lange Listen von Empfängern enthält, originale E-Mail-Empfängerlisten mit vielen scheinbar gefälschten Konten oder einfach das mehrmalige Versenden ihrer Malware mit neuen E-Mails oder „Köder“-Dokumenten.

Weitere Details und technische Hinweise befinden sich im vollständigen Bericht, der hier aufrufbar ist.

#Sentinelone