Betreiber von Predator-Spyware bauen mehrstufige Infrastruktur neu auf, um Mobilgeräte anzugreifen
Neue Forschungsergebnisse der Insikt Group von Recorded Future untersuchen neu entdeckte Infrastrukturen im Zusammenhang mit den Betreibern von Predator, einer von Cytrox entwickelten und derzeit von der Intellexa Alliance verwalteten Söldner-Spionagesoftware für Mobilgeräte. Es wird angenommen, dass die Infrastruktur in mindestens elf Ländern im Einsatz ist, darunter Angola, Armenien, Botswana, Ägypten, Indonesien, Kasachstan, die Mongolei, Oman, die Philippinen, Saudi-Arabien und Trinidad und Tobago. Dies ist bemerkenswerterweise das erste Mal, dass Kunden in Botswana und auf den Philippinen öffentlich identifiziert wurden. Obwohl Predator für die Terrorismusbekämpfung und die Strafverfolgung vermarktet wird, wurde es oft gegen die Zivilgesellschaft eingesetzt, um Journalisten, Politiker und Aktivisten ins Visier zu nehmen. Bei dieser jüngsten Aktivität wurden keine spezifischen Opfer oder Ziele identifiziert.
Mehrstufige Predator-Delivery-Network-Architektur (Quelle: Recorded Future)
Risiken verstehen und bewährte Sicherheitsmethoden implementieren
Die Verwendung von Spyware wie etwa Predator birgt erhebliche Risiken für den Datenschutz, die Legalität und die physische Sicherheit, insbesondere wenn sie außerhalb von Zusammenhängen mit schwerer Kriminalität und Terrorismusbekämpfung eingesetzt wird. Obwohl die meisten Missbrauchsfälle auf die Zivilgesellschaft abzielen, sollten sich andere Organisationen und Einzelpersonen in Regionen, die für Spyware-Missbrauch bekannt sind, unabhängig von ihrer Branche oder ihrem Standorts des Risikos bewusst sein. In Anbetracht der hohen Einsatzkosten und der Kosten pro Infektion ist es wahrscheinlicher, dass hochrangige Personen, wie z. B. Führungskräfte, von denen man annimmt, dass sie einen hohen Informationswert besitzen, zur Zielscheibe werden. Die Europäische Union hat vor Kurzem Maßnahmen ergriffen, um den Missbrauch von Söldner-Spyware in ihren Mitgliedstaaten einzudämmen.
Da der Markt für Söldner-Spyware mit neuen Unternehmen und Produkten wächst, erstreckt sich das Risiko, ins Visier genommen zu werden, auf alle, die für Einheiten mit Zugang zu diesen Tools oder ähnlichen Funktionen von Interesse sind. Angesichts der anhaltenden Rentabilität, des zunehmenden Wettbewerbs und der verstärkten IT-Sicherheit werden Innovationen wahrscheinlich zu mehr verdeckten Infektionsmethoden führen – wie z. B. die Persistenz durch Werksrückstellungen – , zu neuen Zielen wie Cloud-Backups, zu einem stärker professionalisierten Spyware-Ökosystem und zu einem breiteren Produktportfolio. Folglich müssen wirksame Strategien zur Schadensbegrenzung eine genaue Überwachung des Ökosystems, gründliche Risikobewertungen und strengere Vorschriften seitens der politischen Entscheidungsträger beinhalten.
Minderungsstrategien
Um diese Risiken zu mindern, wird Organisationen und Einzelpersonen empfohlen, bewährte Sicherheitsmethoden zu befolgen, wie z. B. regelmäßige Telefonupdates, Geräteneustarts, Sperrmodus, Mobile Device Management-Systeme und die Trennung privater und geschäftlicher Geräte. Von entscheidender Bedeutung sind außerdem Schulungen zum Sicherheitsbewusstsein und eine Kultur der minimalen Datenfreigabe. Zu den langfristigen Lösungen gehört die Durchführung von Risikobewertungen zur Entwicklung dynamischer Sicherheitsrichtlinien. Mit der Expansion des Söldnermarktes für Spyware werden nicht nur die Zivilgesellschaft, sondern auch alle Personen gefährdet, die für Unternehmen von Interesse sind, die Zugriff auf diese Tools haben. Innovationen auf diesem Gebiet werden wahrscheinlich zu besser verborgenen und umfassenderen Spyware-Funktionen führen.
Zu den wichtigsten Ergebnissen der Untersuchungen der Insikt Group gehört die Entdeckung einer neuen, mehrstufigen Predator-Lieferinfrastruktur, die darauf hindeutet, dass Predator wahrscheinlich in mindestens elf Ländern weiterhin eingesetzt wird. Diese Schlussfolgerung wird durch Domain-Analysen und Erkenntnisse von Recorded Future Network Intelligence unterstützt. Trotz öffentlicher Enthüllungen im September 2023 haben die Betreiber von Predator ihren Betrieb mit minimalen Änderungen fortgesetzt. Predator ist neben Pegasus der NSO Group nach wie vor einer der führenden Anbieter von Spionagesoftware für Söldner, dessen Taktiken, Techniken und Verfahren im Laufe der Zeit immer gleich geblieben sind.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Hinweis: Diese Zusammenfassung des Berichts wurde erstmals am 1. März 2024 veröffentlicht und am 30. Oktober 2024 aktualisiert. Die ursprüngliche Analyse und die Ergebnisse bleiben unverändert.
Indikatoren für eine Gefährdung
| Domänen: 02s[.]co 06g[.]co 09a[.]co 2-gis[.]kz astanapark[.]com beroxe[.]com buildneeds[.]net bw-guardian[.]com kabinett-salyk[.]kz centent-management[.]net clazc[.]com coazoa[.]com Kopiere Notiz[.]net corporatebusinesssolution[.]net dzhabarzan[.]com e-kgd[.]kz ehudaldaa[.]com escortbabesluxo[.]com eventnews[.]live fast-notify[.]com fastnews[.]biz fr-monde[.]com gabzmus[.]com get-location[.]com get-location[.]net highclub[.]leben informationrank[.]net jumia-egy[.]com kapital-news[.]com kejoranews[.]net kollesa[.]com krisha-kz[.]com kroal[.]com ladiesclubhouse[.]com lusofonia-mundo[.]com magnum-kz[.]com mastershop[.]biz mb-ph[.]net mmegi[.]co msbsck[.]com mujmbosnoticias[.]com mundodenoticias[.]online myfawry[.]net nospam[.]kz Benachrichtigungsdienst[.]biz nur-news[.]com olimpbets[.]kz ongsworld[.]com pelovkin[.]com people-beeline[.]com peticaonline[.]comv plastictoysworld[.]com plinkypong[.]com post-notify[.]info qazsporttv[.]com rcuples[.]com rozavetrovv[.]com schedulefestival[.]com shoxtek[.]com fußball-bw[.]com spacsaver[.]info sportnow[.]news suarapapua[.]co sustanbuild[.]com thintank[.]co tickets-kz[.]com tobupmi[.]com tohna[.]net ulstur[.]co vendaswebs[.]com vestinfo[.]net vestinfo[.]org vestinfos[.]net vinho-online[.]com vlast-news[.]com walatparez[.]com weekendcool[.]com yo-um7[.]com zakorn[.]com zikolo[.]net ztb-news[.]com IP-Adressen: 2.58.15[.]58 5.39.221[.]36 5.39.221[.]47 5.39.221[.]48 5.255.88[.]172 23.137.248[.]95 37.120.222[.]115 45.129.0[.]125 45.148.244[.]5 45.86.163[.]77 45.86.163[.]93 46.246.97[.]245 46.249.49[.]230 46.30.190[.]98 79.110.52[.]179 79.110.52[.]196 79.137.199[.]216 79.141.175[.]146 84.247.51[.]14 84.247.51[.]18 85.17.9[.]21 85.17.9[.]73 85.17.9[.]74 85.239.34[.]174 87.121.45[.]29 87.121.45[.]42 87.121.45[.]45 88.119.161[.]135 91.241.93[.]165 95.141.34[.]222 98.142.254[.]112 101.99.75[.]197 141.94.122[.]19 146.70.158[.]144 146.70.161[.]50 158.58.172[.]3 164.215.103[.]143 164.215.103[.]20 169.239.128[.]137 169.239.129[.]48 169.239.129[.]63 169.239.129[.]76 169.255.59[.]98 176.124.198[.]52 176.124.198[.]55 185.113.8[.]67 185.113.8[.]83 185.117.91[.]165 185.117.91[.]237 185.130.227[.]29 185.130.227[.]88 185.130.227[.]95 185.130.45[.]34 185.130.46[.]165 185.130.46[.]202 185.156.172[.]17 185.156.172[.]20 185.156.172[.]48 185.158.248[.]131 185.158.248[.]85 185.196.9[.]76 185.212.47[.]75 185.219.220[.]99 185.219.221[.]30 185.62.58[.]107 185.66.140[.]112 192.46.237[.]163 193.168.143[.]111 193.168.143[.]116 193.168.143[.]184 193.168.143[.]185 193.233.161[.]137 193.233.161[.]163 193.29.104[.]13 193.29.104[.]5 193.29.104[.]83 193.29.59[.]171 193.42.36[.]106 193.42.36[.]84 212.237.217[.]127 213.252.246[.]152 |
Predator-Delivery-Server
| Domain | IP-Adresse | Zum ersten Mal gesehen | Zuletzt gesehen |
| 06g[.]co | 185.130.227[.]29 | 22.12.2023 | 21.02.2024 |
| 02s[.]co | 185.130.227[.]95 | 22.12.2023 | 21.02.2024 |
| spacsaver[.]info | 45.148.244[.]5 | 30.11.2023 | 20.02.2024 |
| 09a[.]co | 5.39.221[.]36 | 22.12.2023 | 21.02.2024 |
| ongsworld[.]com | 146.70.158[.]144 | 16.11.2023 | 21.02.2024 |
| fr-monde[.]com | 169.239.129[.]76 | 15.12.2023 | 20.02.2024 |
| lusofonia-mundo[.]com | 169.239.129[.]63 | 15.12.2023 | 17.02.2024 |
| ladiesclubhouse[.]com | 169.239.129[.]48 | 15.12.2023 | 18.02.2024 |
| vinho-online[.]com | 169.239.128[.]137 | 15.12.2023 | 17.02.2024 |
| vendaswebs[.]com | 185.158.248[.]131 | 16.11.2023 | 17.02.2024 |
| mundodenoticias[.]online | 185.196.9[.]76 | 16.11.2023 | 17.02.2024 |
| mujmbosnoticias[.]com | 185.212.47[.]75 | 02.11.2023 | 21.02.2024 |
| fußball-bw[.]com | 185.130.46[.]165 | 22.11.2023 | 17.02.2024 |
| mmegi[.]co | 45.129.0[.]125 | 22.11.2023 | 16.02.2024 |
| bw-guardian[.]com | 95.141.34[.]222 | 19.11.2023 | 17.02.2024 |
| yo-um7[.]com | 185.130.46[.]202 | 29.11.2023 | 17.02.2024 |
| sustanbuild[.]com | 193.29.104[.]5 | 25.11.2023 | 17.02.2024 |
| myfawry[.]net | 2.58.15[.]58 | 14.12.2023 | 20.02.2024 |
| jumia-egy[.]com | 79.110.52[.]196 | 14.12.2023 | 17.02.2024 |
| suarapapua[.]co | 158.58.172[.]3 | 01.12.2023 | 29.01.2024 |
| kejoranews[.] netto | 185.158.248[.]85 | 07.12.2023 | 15.02.2024 |
| nospam[.]kz | 176.124.198[.]52 | 28.12.2023 | 13.02.2024 |
| olimpbets[.]kz | 176.124.198[.]55 | 28.12.2023 | 13.02.2024 |
| vlast-news[.]com | 185.156.172[.]20 | 08.12.2023 | 16.02.2024 |
| ztb-news[.]com | 185.156.172[.]17 | 08.12.2023 | 17.02.2024 |
| Kabinett-Salyk[.]kz | 185.156.172[.]48 | 15.12.2023 | 21.02.2024 |
| zikolo[.]net | 193.168.143[.]116 | 11.11.2023 | 14.02.2024 |
| magnum-kz[.]com | 45.86.163[.]93 | 08.12.2023 | 20.02.2024 |
| tickets-kz[.]com | 45.86.163[.]77 | 10.12.2023 | 17.02.2024 |
| people-beeline[.]com | 5.39.221[.]47 | 14.12.2023 | 17.02.2024 |
| rozavetrovv[.]com | 5.39.221[.]48 | 14.12.2023 | 17.02.2024 |
| 2-gis[.]kz | 79.137.199[.]216 | 28.12.2023 | 20.02.2024 |
| e-kgd[.]kz | 85.17.9[.]21 | 15.12.2023 | 17.02.2024 |
| kapital-news[.]com | 85.17.9[.]73 | 14.12.2023 | 19.02.2024 |
| nur-news[.]com | 85.17.9[.]74 | 14.12.2023 | 21.02.2024 |
| astanapark[.]com | 87.121.45[.]42 | 11.12.2023 | 16.02.2024 |
| krisha-kz[.]com | 88.119.161[.]135 | 26.11.2023 | 17.02.2024 |
| ehudaldaa[.]com | 84.247.51[.]14 | 23.12.2023 | 20.02.2024 |
| ulstur[.]co | 84.247.51[.]18 | 25.12.2023 | 20.02.2024 |
| mb-ph[.]net | 193.42.36[.]106 | 07.12.2023 | 21.02.2024 |
| buildneeds[.]net | 141.94.122[.]19 | 21.11.2023 | 17.02.2024 |
| sportnow[.]news | 185.113.8[.]67 | 11.11.2023 | 19.02.2024 |
| corporatebusinesssolution[.]net | 193.168.143[.]184 | 25.11.2023 | 09.02.2024 |
| informationrank[.]net | 193.168.143[.]185 | 25.11.2023 | 17.02.2024 |
| centent-management[.]net | 193.29.59[.]171 | 21.11.2023 | 09.02.2024 |
| highclub[.]leben | 46.249.49[.]230 | 11.11.2023 | 21.02.2024 |
| vestinfos[.]net | 185.130.45[.]34 | 22.12.2023 | 09.02.2024 |
| get-location[.]net | 46.246.97[.]245 | 21.12.2023 | 08.02.2024 |
| vestinfo[.]org | 79.141.175[.]146 | 22.12.2023 | 22.12.2023 |
| eventnews[.]live | 185.219.221[.]30 | 04.12.2023 | 08.02.2024 |
| get-location[.]com | 192.46.237[.]163 | 04.12.2023 | 20.02.2024 |
| vestinfo[.]net | 87.121.45[.]29 | 04.12.2023 | 17.02.2024 |
| thintank[.]co | 5.255.88[.]172 | 25.10.2023 | 20.01.2024 |
| fastnews[.]biz | 101.99.75[.]197 | 17.11.2023 | 18.02.2024 |
| plinkypong[.]com | 146.70.161[.]50 | 29.11.2023 | 17.02.2024 |
| peticaonline[.]com | 164.215.103[.]143 | 27.11.2023 | 17.02.2024 |
| escortbabesluxo[.]com | 164.215.103[.]20 | 03.11.2023 | 13.02.2024 |
| coazoa[.]com | 169.255.59[.]98 | 01.11.2023 | 19.02.2024 |
| weekendcool[.]com | 185.113.8[.]83 | 18.11.2023 | 14.02.2024 |
| qazsporttv[.]com | 185.117.91[.]237 | 14.12.2023 | 17.02.2024 |
| pelovkin[.]com | 185.117.91[.]165 | 29.11.2023 | 14.02.2024 |
| plastictoysworld[.]com | 185.130.227[.]88 | 28.11.2023 | 17.02.2024 |
| tohna[.]net | 185.219.220[.]99 | 02.11.2023 | 10.02.2024 |
| notify-service[.] Geschäft | 185.62.58[.]107 | 16.11.2023 | 01.02.2024 |
| Kopiernotiz[.]net | 185.66.140[.]112 | 29.11.2023 | 31.01.2024 |
| zakorn[.]com | 193.168.143[.]111 | 10.11.2023 | 17.02.2024 |
| walatparez[.]com | 193.233.161[.]137 | 09.12.2023 | 17.02.2024 |
| tobupmi[.]com | 193.233.161[.]163 | 14.11.2023 | 16.02.2024 |
| gabzmus[.]com | 193.29.104[.]13 | 14.11.2023 | 17.02.2024 |
| msbsck[.]com | 193.29.104[.]83 | 16.11.2023 | 17.02.2024 |
| mastershop[.]biz | 193.42.36[.]84 | 17.11.2023 | 11.02.2024 |
| kollesa[.]com | 212.237.217[.]127 | 10.11.2023 | 17.02.2024 |
| schedulefestival[.]com | 213.252.246[.]152 | 16.11.2023 | 18.02.2024 |
| post-notify[.]info | 23.137.248[.]95 | 17.11.2023 | 17.02.2024 |
| dzhabarzan[.]com | 37.120.222[.]115 | 08.12.2023 | 21.02.2024 |
| shoxtek[.]com | 46.30.190[.]98 | 23.11.2023 | 12.02.2024 |
| fast-notify[.]com | 79.110.52[.]179 | 09.12.2023 | 19.02.2024 |
| clazc[.]com | 85.239.34[.]174 | 24.11.2023 | 17.02.2024 |
| beroxe[.]com | 87.121.45[.]45 | 09.12.2023 | 21.02.2024 |
| kroal[.]com | 91.241.93[.]165 | 08.12.2023 | 19.02.2024 |
| rcuples[.]com | 98.142.254[.]112 | 28.11.2023 | 02.02.2024 |
MITRE ATT&CK TTPs
| Taktik: Technik | ATT&CK-Code |
| Ressourcenentwicklung: Infrastruktur erwerben: Domänen | T1583.001 |
| Ressourcenentwicklung: Infrastruktur erwerben: Virtueller privater Server | T1583.003 |
| Ressourcenentwicklung: Infrastruktur erwerben: Server | T1583.004 |
| Erster Zugriff: Spearphishing-Link | T1566.002 |
| Ausführung: Ausnutzung zur Client-Ausführung | T1203 |
Verwandt