Jena - Der IT-Sicherheitshersteller ESET veröffentlicht heute eine neue Analyse zu FishMonger, einer Hackergruppe des berüchtigten chinesischen IT-Dienstleister I-SOON (https://www.zdf.de/nachrichten/politik/ausland/china-datenleck-i-soon-cyber-spionage-hacker-100.html). Die Cyberkriminellen attackierten gezielt Regierungen, Think Tanks und NGOs auf mehreren Kontinenten, um an Daten zu gelangen. Diese Angriffe wurden zuvor in ESETs Threat Intelligence-Berichten (https://www.eset.com/de/business/services/threat-intelligence/) dokumentiert. Einem detaillierten Bericht haben die Experten auf dem Security-Blog welivesecurity.de (https://www.welivesecurity.com/de/eset-research/operation-fishmedley) veröffentlicht.
Jena - Der IT-Sicherheitshersteller ESET veröffentlicht heute eine neue Analyse zu FishMonger, einer Hackergruppe des berüchtigten chinesischen IT-Dienstleister I-SOON ( https://www.zdf.de/nachrichten/politik/ausland/china-datenleck-i-soon-cyber-spionage-hacker-100.html ) . Die Cyberkriminellen attackierten gezielt Regierungen, Think Tanks und NGOs auf mehreren Kontinenten, um an Daten zu gelangen. Diese Angriffe wurden zuvor in ESETs Threat Intelligence-Berichten ( https://www.eset.com/de/business/services/threat-intelligence/ ) dokumentiert. Einem detaillierten Bericht haben die Experten auf dem Security-Blog welivesecurity.de ( https://www.welivesecurity.com/de/eset-research/operation-fishmedley ) veröffentlicht.Das US-Justizministerium hat vor kurzem eine Anklageschrift gegen Mitarbeiter von I-SOON veröffentlicht. Zeitgleich mit der Anklageschrift hat das FBI die mutmaßlichen Akteure auf seine Most Wanted-Liste gesetzt. Unter den enthüllten Cyberangriffen befindet sich auch eine Kampagne aus dem Jahr 2022, die ESET "Operation FishMedley" genannt hat.Diese Organisationen hatte FishMonger im VisierESET untersuchte 2022 zahlreiche Angriffe. Dabei wurden Werkzeuge wie ShadowPad und SodaMaster entdeckt, die sich bei chinesischen Hackern großer Beliebtheit erfreuen."Unsere Untersuchungen haben bestätigt, dass FishMonger zu I-SOON gehört. Dabei handelt es sich um eine chinesische IT-Firma mit Sitz in Chengdu, die im Jahr 2024 durch ein massives Dokumentenleck bekannt wurde", erklärt ESET-Forscher Matthieu Faou, der die Angriffe analysiert hat. "Wir schreiben insgesamt sieben unabhängige Vorfälle der Operation FishMedley zu."Die Attacken richteten sich gezielt gegen eine Vielzahl von Organisationen. Dazu gehörten Regierungsstellen in Taiwan und Thailand, katholische Wohltätigkeitsorganisationen in Ungarn und den USA, eine NGO in den USA, eine geopolitische Denkfabrik in Frankreich sowie eine unbekannte Organisation in der Türkei. Die Wahl der Angriffsziele legt nahe, dass die Operation auf strategische Interessen der chinesischen Regierung ausgerichtet war.Taktiken und eingesetzte WerkzeugeIn den meisten Fällen erlangten die Angreifer privilegierten Zugang zu den lokalen Netzwerken ihrer Opfer, etwa durch gestohlene Anmeldedaten von Domänenadministratoren. Zum Arsenal von FishMonger gehören neben ShadowPad und SodaMaster auch Spyder, ein benutzerdefiniertes Werkzeug zur Passwort-Exfiltration, ein Programm zum Datendiebstahl aus Dropbox-Speichern, der Netzwerkscanner fscan sowie ein NetBIOS-Scanner.Wer steckt hinter FishMonger?FishMonger operiert unter dem Dach der berüchtigten Winnti-Gruppe und agiert höchstwahrscheinlich von Chengdu aus. ESET hatte bereits im Jahr 2020 eine Analyse ( https://www.welivesecurity.com/deutsch/2020/01/31/winnti-group-attackiert-universitaeten-in-hongkong/ ) zu dieser Gruppe veröffentlicht, als sie Universitäten in Hongkong während der Proteste von 2019 ins Visier nahm. FishMonger ist für seine Watering-Hole-Angriffe bekannt. Das sind Cyberattacken, bei denen eine Webseite mit schadhaftem Code infiziert wird, um weitere Computer anzustecken. Darüber hinaus nutzt die Gruppe eine Kombination aus hochentwickelten Cyberwerkzeugen wie Cobalt Strike, FunnySwitch, SprySOCKS und BIOPASS RAT. FishMonger ist unter verschiedenen weiteren Namen bekannt, darunter Earth Lusca, TAG-22 und Aquatic Panda.Weitere Informationen gibt es im aktuellen Blogpost "Operation FishMedley ( https://www.welivesecurity.com/de/eset-research/operation-fishmedley )" auf Welivesecurity.de.(Ende)Aussender: ESET Deutschland GmbH Ansprechpartner: Michael Klatte Tel.: +49 3641 3114 257 E-Mail: michael.klatte@eset.de Website: www.eset.de