Betreiber von Predator-Spyware bauen mehrstufige Infrastruktur neu auf, um Mobilgeräte anzugreifen
Neue Forschungsergebnisse der Insikt Group von Recorded Future untersuchen neu entdeckte Infrastrukturen im Zusammenhang mit den Betreibern von Predator, einer geldgierigen mobilen Spyware. Diese Infrastruktur wird vermutlich in mindestens elf Ländern genutzt, darunter Angola, Armenien, Botswana, Ägypten, Indonesien, Kasachstan, die Mongolei, Oman, die Philippinen, Saudi-Arabien und Trinidad und Tobago. Bemerkenswerterweise handelt es sich dabei um die erste Identifizierung von Predator-Kunden in Botswana und auf den Philippinen. Obwohl die Malware für Zwecke der Terrorismusbekämpfung und Strafverfolgung vermarktet wird, wird sie häufig gegen die Zivilgesellschaft eingesetzt und zielt auf Journalisten, Politiker und Aktivisten ab. Bei dieser jüngsten Aktion konnten bislang keine konkreten Opfer oder Ziele identifiziert werden.
Mehrstufige Predator-Delivery-Network-Architektur (Quelle: Recorded Future)
Risiken verstehen und bewährte Sicherheitsmethoden implementieren
Der Einsatz von Spyware wie Predator birgt erhebliche Risiken für die Privatsphäre, die Rechtmäßigkeit und die körperliche Unversehrtheit, insbesondere wenn er nicht im Zusammenhang mit schwerer Kriminalität und Terrorismusbekämpfung eingesetzt wird. Personen mit hohem Bekanntheitsgrad, wie etwa Führungskräfte, sind aufgrund der hohen Kosten, die mit dem Einsatz solcher Spyware verbunden sind, einem größeren Risiko ausgesetzt. Die Europäische Union hat vor kurzem Schritte unternommen, um den Missbrauch gewinnorientierter Spionagesoftware in ihren Mitgliedsstaaten einzudämmen.
Um diese Risiken zu mindern, wird Organisationen und Einzelpersonen empfohlen, bewährte Sicherheitsmethoden zu befolgen, wie z. B. regelmäßige Telefonupdates, Geräteneustarts, Sperrmodus, Mobile Device Management-Systeme und die Trennung privater und geschäftlicher Geräte. Von entscheidender Bedeutung sind außerdem Schulungen zum Sicherheitsbewusstsein und eine Kultur der minimalen Datenfreigabe. Zu den langfristigen Lösungen gehört die Durchführung von Risikobewertungen zur Entwicklung dynamischer Sicherheitsrichtlinien. Mit der Expansion des Söldnermarktes für Spyware werden nicht nur die Zivilgesellschaft, sondern auch alle Personen gefährdet, die für Unternehmen von Interesse sind, die Zugriff auf diese Tools haben. Innovationen auf diesem Gebiet werden wahrscheinlich zu besser verborgenen und umfassenderen Spyware-Funktionen führen.
Zu den wichtigsten Ergebnissen der Forschung der Insikt Group gehört die Identifizierung einer neuen mehrstufigen Predator-Bereitstellungsinfrastruktur mit Belegen aus Domänenanalysen und Netzwerkintelligenzdaten. Trotz öffentlicher Bekanntgabe im September 2023 haben die Betreiber von Predator ihren Betrieb mit minimalen Änderungen fortgesetzt. Predator bleibt neben Pegasus der NSO Group ein führender Anbieter von Söldner-Spyware mit über die Zeit hinweg gleichbleibenden Taktiken, Techniken und Verfahren.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Indikatoren für eine Gefährdung
| Domänen: 02s[.]co 06g[.]co 09a[.]co 2-gis[.]kz astanapark[.]com beroxe[.]com buildneeds[.]net bw-guardian[.]com kabinett-salyk[.]kz centent-management[.]net clazc[.]com coazoa[.]com Kopiere Notiz[.]net corporatebusinesssolution[.]net dzhabarzan[.]com e-kgd[.]kz ehudaldaa[.]com escortbabesluxo[.]com eventnews[.]live fast-notify[.]com fastnews[.]biz fr-monde[.]com gabzmus[.]com get-location[.]com get-location[.]net highclub[.]leben informationrank[.]net jumia-egy[.]com kapital-news[.]com kejoranews[.]net kollesa[.]com krisha-kz[.]com kroal[.]com ladiesclubhouse[.]com lusofonia-mundo[.]com magnum-kz[.]com mastershop[.]biz mb-ph[.]net mmegi[.]co msbsck[.]com mujmbosnoticias[.]com mundodenoticias[.]online myfawry[.]net nospam[.]kz Benachrichtigungsdienst[.]biz nur-news[.]com olimpbets[.]kz ongsworld[.]com pelovkin[.]com people-beeline[.]com peticaonline[.]comv plastictoysworld[.]com plinkypong[.]com post-notify[.]info qazsporttv[.]com rcuples[.]com rozavetrovv[.]com schedulefestival[.]com shoxtek[.]com fußball-bw[.]com spacsaver[.]info sportnow[.]news suarapapua[.]co sustanbuild[.]com thintank[.]co tickets-kz[.]com tobupmi[.]com tohna[.]net ulstur[.]co vendaswebs[.]com vestinfo[.]net vestinfo[.]org vestinfos[.]net vinho-online[.]com vlast-news[.]com walatparez[.]com weekendcool[.]com yo-um7[.]com zakorn[.]com zikolo[.]net ztb-news[.]com IP-Adressen: 2.58.15[.]58 5.39.221[.]36 5.39.221[.]47 5.39.221[.]48 5.255.88[.]172 23.137.248[.]95 37.120.222[.]115 45.129.0[.]125 45.148.244[.]5 45.86.163[.]77 45.86.163[.]93 46.246.97[.]245 46.249.49[.]230 46.30.190[.]98 79.110.52[.]179 79.110.52[.]196 79.137.199[.]216 79.141.175[.]146 84.247.51[.]14 84.247.51[.]18 85.17.9[.]21 85.17.9[.]73 85.17.9[.]74 85.239.34[.]174 87.121.45[.]29 87.121.45[.]42 87.121.45[.]45 88.119.161[.]135 91.241.93[.]165 95.141.34[.]222 98.142.254[.]112 101.99.75[.]197 141.94.122[.]19 146.70.158[.]144 146.70.161[.]50 158.58.172[.]3 164.215.103[.]143 164.215.103[.]20 169.239.128[.]137 169.239.129[.]48 169.239.129[.]63 169.239.129[.]76 169.255.59[.]98 176.124.198[.]52 176.124.198[.]55 185.113.8[.]67 185.113.8[.]83 185.117.91[.]165 185.117.91[.]237 185.130.227[.]29 185.130.227[.]88 185.130.227[.]95 185.130.45[.]34 185.130.46[.]165 185.130.46[.]202 185.156.172[.]17 185.156.172[.]20 185.156.172[.]48 185.158.248[.]131 185.158.248[.]85 185.196.9[.]76 185.212.47[.]75 185.219.220[.]99 185.219.221[.]30 185.62.58[.]107 185.66.140[.]112 192.46.237[.]163 193.168.143[.]111 193.168.143[.]116 193.168.143[.]184 193.168.143[.]185 193.233.161[.]137 193.233.161[.]163 193.29.104[.]13 193.29.104[.]5 193.29.104[.]83 193.29.59[.]171 193.42.36[.]106 193.42.36[.]84 212.237.217[.]127 213.252.246[.]152 |
Predator-Delivery-Server
| Domain | IP-Adresse | Zum ersten Mal gesehen | Zuletzt gesehen |
| 06g[.]co | 185.130.227[.]29 | 22.12.2023 | 21.02.2024 |
| 02s[.]co | 185.130.227[.]95 | 22.12.2023 | 21.02.2024 |
| spacsaver[.]info | 45.148.244[.]5 | 30.11.2023 | 20.02.2024 |
| 09a[.]co | 5.39.221[.]36 | 22.12.2023 | 21.02.2024 |
| ongsworld[.]com | 146.70.158[.]144 | 16.11.2023 | 21.02.2024 |
| fr-monde[.]com | 169.239.129[.]76 | 15.12.2023 | 20.02.2024 |
| lusofonia-mundo[.]com | 169.239.129[.]63 | 15.12.2023 | 17.02.2024 |
| ladiesclubhouse[.]com | 169.239.129[.]48 | 15.12.2023 | 18.02.2024 |
| vinho-online[.]com | 169.239.128[.]137 | 15.12.2023 | 17.02.2024 |
| vendaswebs[.]com | 185.158.248[.]131 | 16.11.2023 | 17.02.2024 |
| mundodenoticias[.]online | 185.196.9[.]76 | 16.11.2023 | 17.02.2024 |
| mujmbosnoticias[.]com | 185.212.47[.]75 | 02.11.2023 | 21.02.2024 |
| fußball-bw[.]com | 185.130.46[.]165 | 22.11.2023 | 17.02.2024 |
| mmegi[.]co | 45.129.0[.]125 | 22.11.2023 | 16.02.2024 |
| bw-guardian[.]com | 95.141.34[.]222 | 19.11.2023 | 17.02.2024 |
| yo-um7[.]com | 185.130.46[.]202 | 29.11.2023 | 17.02.2024 |
| sustanbuild[.]com | 193.29.104[.]5 | 25.11.2023 | 17.02.2024 |
| myfawry[.]net | 2.58.15[.]58 | 14.12.2023 | 20.02.2024 |
| jumia-egy[.]com | 79.110.52[.]196 | 14.12.2023 | 17.02.2024 |
| suarapapua[.]co | 158.58.172[.]3 | 01.12.2023 | 29.01.2024 |
| kejoranews[.] netto | 185.158.248[.]85 | 07.12.2023 | 15.02.2024 |
| nospam[.]kz | 176.124.198[.]52 | 28.12.2023 | 13.02.2024 |
| olimpbets[.]kz | 176.124.198[.]55 | 28.12.2023 | 13.02.2024 |
| vlast-news[.]com | 185.156.172[.]20 | 08.12.2023 | 16.02.2024 |
| ztb-news[.]com | 185.156.172[.]17 | 08.12.2023 | 17.02.2024 |
| Kabinett-Salyk[.]kz | 185.156.172[.]48 | 15.12.2023 | 21.02.2024 |
| zikolo[.]net | 193.168.143[.]116 | 11.11.2023 | 14.02.2024 |
| magnum-kz[.]com | 45.86.163[.]93 | 08.12.2023 | 20.02.2024 |
| tickets-kz[.]com | 45.86.163[.]77 | 10.12.2023 | 17.02.2024 |
| people-beeline[.]com | 5.39.221[.]47 | 14.12.2023 | 17.02.2024 |
| rozavetrovv[.]com | 5.39.221[.]48 | 14.12.2023 | 17.02.2024 |
| 2-gis[.]kz | 79.137.199[.]216 | 28.12.2023 | 20.02.2024 |
| e-kgd[.]kz | 85.17.9[.]21 | 15.12.2023 | 17.02.2024 |
| kapital-news[.]com | 85.17.9[.]73 | 14.12.2023 | 19.02.2024 |
| nur-news[.]com | 85.17.9[.]74 | 14.12.2023 | 21.02.2024 |
| astanapark[.]com | 87.121.45[.]42 | 11.12.2023 | 16.02.2024 |
| krisha-kz[.]com | 88.119.161[.]135 | 26.11.2023 | 17.02.2024 |
| ehudaldaa[.]com | 84.247.51[.]14 | 23.12.2023 | 20.02.2024 |
| ulstur[.]co | 84.247.51[.]18 | 25.12.2023 | 20.02.2024 |
| mb-ph[.]net | 193.42.36[.]106 | 07.12.2023 | 21.02.2024 |
| buildneeds[.]net | 141.94.122[.]19 | 21.11.2023 | 17.02.2024 |
| sportnow[.]news | 185.113.8[.]67 | 11.11.2023 | 19.02.2024 |
| corporatebusinesssolution[.]net | 193.168.143[.]184 | 25.11.2023 | 09.02.2024 |
| informationrank[.]net | 193.168.143[.]185 | 25.11.2023 | 17.02.2024 |
| centent-management[.]net | 193.29.59[.]171 | 21.11.2023 | 09.02.2024 |
| highclub[.]leben | 46.249.49[.]230 | 11.11.2023 | 21.02.2024 |
| vestinfos[.]net | 185.130.45[.]34 | 22.12.2023 | 09.02.2024 |
| get-location[.]net | 46.246.97[.]245 | 21.12.2023 | 08.02.2024 |
| vestinfo[.]org | 79.141.175[.]146 | 22.12.2023 | 22.12.2023 |
| eventnews[.]live | 185.219.221[.]30 | 04.12.2023 | 08.02.2024 |
| get-location[.]com | 192.46.237[.]163 | 04.12.2023 | 20.02.2024 |
| vestinfo[.]net | 87.121.45[.]29 | 04.12.2023 | 17.02.2024 |
| thintank[.]co | 5.255.88[.]172 | 25.10.2023 | 20.01.2024 |
| fastnews[.]biz | 101.99.75[.]197 | 17.11.2023 | 18.02.2024 |
| plinkypong[.]com | 146.70.161[.]50 | 29.11.2023 | 17.02.2024 |
| peticaonline[.]com | 164.215.103[.]143 | 27.11.2023 | 17.02.2024 |
| escortbabesluxo[.]com | 164.215.103[.]20 | 03.11.2023 | 13.02.2024 |
| coazoa[.]com | 169.255.59[.]98 | 01.11.2023 | 19.02.2024 |
| weekendcool[.]com | 185.113.8[.]83 | 18.11.2023 | 14.02.2024 |
| qazsporttv[.]com | 185.117.91[.]237 | 14.12.2023 | 17.02.2024 |
| pelovkin[.]com | 185.117.91[.]165 | 29.11.2023 | 14.02.2024 |
| plastictoysworld[.]com | 185.130.227[.]88 | 28.11.2023 | 17.02.2024 |
| tohna[.]net | 185.219.220[.]99 | 02.11.2023 | 10.02.2024 |
| notify-service[.] Geschäft | 185.62.58[.]107 | 16.11.2023 | 01.02.2024 |
| Kopiernotiz[.]net | 185.66.140[.]112 | 29.11.2023 | 31.01.2024 |
| zakorn[.]com | 193.168.143[.]111 | 10.11.2023 | 17.02.2024 |
| walatparez[.]com | 193.233.161[.]137 | 09.12.2023 | 17.02.2024 |
| tobupmi[.]com | 193.233.161[.]163 | 14.11.2023 | 16.02.2024 |
| gabzmus[.]com | 193.29.104[.]13 | 14.11.2023 | 17.02.2024 |
| msbsck[.]com | 193.29.104[.]83 | 16.11.2023 | 17.02.2024 |
| mastershop[.]biz | 193.42.36[.]84 | 17.11.2023 | 11.02.2024 |
| kollesa[.]com | 212.237.217[.]127 | 10.11.2023 | 17.02.2024 |
| schedulefestival[.]com | 213.252.246[.]152 | 16.11.2023 | 18.02.2024 |
| post-notify[.]info | 23.137.248[.]95 | 17.11.2023 | 17.02.2024 |
| dzhabarzan[.]com | 37.120.222[.]115 | 08.12.2023 | 21.02.2024 |
| shoxtek[.]com | 46.30.190[.]98 | 23.11.2023 | 12.02.2024 |
| fast-notify[.]com | 79.110.52[.]179 | 09.12.2023 | 19.02.2024 |
| clazc[.]com | 85.239.34[.]174 | 24.11.2023 | 17.02.2024 |
| beroxe[.]com | 87.121.45[.]45 | 09.12.2023 | 21.02.2024 |
| kroal[.]com | 91.241.93[.]165 | 08.12.2023 | 19.02.2024 |
| rcuples[.]com | 98.142.254[.]112 | 28.11.2023 | 02.02.2024 |
MITRE ATT&CK TTPs
| Taktik: Technik | ATT&CK-Code |
| Ressourcenentwicklung: Infrastruktur erwerben: Domänen | T1583.001 |
| Ressourcenentwicklung: Infrastruktur erwerben: Virtueller privater Server | T1583.003 |
| Ressourcenentwicklung: Infrastruktur erwerben: Server | T1583.004 |
| Erster Zugriff: Spearphishing-Link | T1566.002 |
| Ausführung: Ausnutzung zur Client-Ausführung | T1203 |
Verwandt