Cybersicherheitsexperten des Unternehmens F6 haben eine neue Advanced Persistent Threat (APT) Gruppe identifiziert, die unter dem Namen Telemancon operiert. Die Gruppe, deren Aktivitäten seit Februar 2023 beobachtet werden, hat es gezielt auf Industrieunternehmen abgesehen, mit besonderem Fokus auf den Maschinenbausektor und Unternehmen aus der Rüstungsindustrie.
Sophistiziertes Malware-Arsenal enthüllt technische Raffinesse
Die technische Analyse offenbart ein hochentwickeltes Malware-Toolkit, bestehend aus zwei Hauptkomponenten: Dem TMCDropper, der zunächst in C++ entwickelt und später zu C# migriert wurde, sowie dem komplexen Backdoor TMCShell. Die Verteilung erfolgt über gezielte Phishing-Kampagnen, bei denen kompromittierte Archive mit ausführbaren Dateien als Köder eingesetzt werden.
Innovative Tarnungs- und Kommunikationstechniken
Besonders bemerkenswert ist die ausgeklügelte Kommunikationsarchitektur des TMCShell-Backdoors. Die Malware nutzt den Dienst telegra.ph für die Command-and-Control (C2) Kommunikation und implementiert einen dynamischen URL-Generierungsalgorithmus basierend auf Zeitstempeln. Zusätzliche Sicherheitsmechanismen wie digitale Signaturen und SSL-Zertifikatsvalidierung schützen vor Manipulationsversuchen.
Erweiterte Funktionalität und Systemzugriff
Nach erfolgreicher Etablierung einer Verbindung zum C2-Server über Port 2022 demonstriert der Backdoor weitreichende Fähigkeiten zur Systemkompromittierung. Diese umfassen die Extraktion von Benutzerinformationen, Netzwerkkonfigurationen und Sicherheitsgruppendetails. Besonders kritisch ist die Fähigkeit zur Ausführung beliebiger PowerShell-Befehle, wodurch Angreifer vollständige Kontrolle über infizierte Systeme erlangen können.
Verbindungen zu bekannten APT-Gruppen
Die Analyse der Angriffsmuster zeigt signifikante Überschneidungen mit den Taktiken der APT-Gruppen Core Werewolf und Gamaredon, insbesondere bei der Zielauswahl und den Methoden zur Verschleierung der C2-Infrastruktur. Eine definitive Attribution ist jedoch aufgrund der limitierten Datenlage derzeit nicht möglich.
Die Entdeckung von Telemancon unterstreicht die wachsende Bedrohung für kritische Industrieinfrastrukturen. Unternehmen wird dringend empfohlen, ihre Cybersicherheitsmaßnahmen zu verstärken, insbesondere durch die Implementierung mehrschichtiger Sicherheitsarchitekturen, regelmäßige Sicherheitsschulungen für Mitarbeiter und den Einsatz moderner Endpoint Detection and Response (EDR) Systeme. Die kontinuierliche Überwachung und Analyse von APT-Aktivitäten bleibt entscheidend für die frühzeitige Erkennung und Abwehr sophistizierter Cyberangriffe.
