SideCopy-Attacke: Pakistanische Hacker nutzen Frankfurt-Server

Eine pakistanische Hackergruppe hat das Finanzministerium Afghanistans infiltriert – und nutzt dabei Server in Frankfurt.

Cybersicherheitsforscher haben Ende Mai eine ausgeklügelte Spionagekampagne aufgedeckt. Die als SideCopy bekannte Gruppe zielt auf das afghanische Finanzministerium und dessen 34 Provinzdirektorate ab. Die Angreifer verschafften sich mit maßgeschneiderter Schadsoftware umfassenden Fernzugriff auf die Regierungsnetzwerke.

CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in Organisationen einsetzen und wie Sie sich wirksam schützen. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Tarnung als Behördenpost

Die Attacke begann mit gezielten Spear-Phishing-Mails. Die Hacker versendeten getarnte LNK-Dateien in ZIP-Archiven, die auf den ersten Blick wie harmlose Verwaltungsdokumente aussahen. Ein Köder enthielt etwa eine detaillierte Mitarbeiterliste des Finanzministeriums für alle 34 Provinzen – verfasst in Paschtu, einer der Amtssprachen Afghanistans.

„Durch den Einsatz kulturell und fachlich relevanter Täuschungsmanöver wollten die Angreifer Regierungsmitarbeiter dazu bringen, die erste Infektionsstufe auszulösen“, erklären die Sicherheitsexperten.

Fünfstufige Infektionskette

Die Kampagne nutzt einen komplexen, mehrstufigen Infektionsprozess. Nach dem Öffnen der Schad-Datei ruft das System über mshta.exe eine schädliche HTA-Datei von einer kompromittierten afghanischen Bildungsdomain ab.

Die Kette setzt sich über JScript-Ausführung und einen .NET-Lader fort, der schließlich die finale Schadsoftware ausliefert: XenoRAT Version 1.8.7. Um unentdeckt zu bleiben, arbeiten die Hacker dateilos im Arbeitsspeicher und umgehen mit einem speziellen AMSI-Bypass lokale Sicherheitslösungen.

Rekord-Schäden durch Phishing: Warum immer mehr Institutionen jetzt auf Awareness-Kampagnen setzen. Experten erklären in diesem kostenlosen Leitfaden, wie Sie Cyberkriminalität und Manipulationstaktiken frühzeitig entlarven. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Spionage-Werkzeugkasten

Der modifizierte XenoRAT-Schädling gibt den Angreifern umfassende Kontrolle. Keylogging, Bildschirmaufnahmen und der Zugriff auf Webcam und Mikrofon gehören zum Funktionsumfang. Über SOCKS5-Tunneling können die Hacker zudem tiefer in das interne Netzwerk der Behörden eindringen.

Die Persistenz auf infizierten Rechnern stellen sie durch gezielte Registry-Änderungen sicher. Besonders brisant: Die Kommandoserver-Infrastruktur läuft über einen Anbieter in Frankfurt am Main.

Geopolitische Dimension

Sicherheitsanalysten ordnen SideCopy dem Transparent-Tribe- oder APT36-Umfeld zu – einer Gruppe, die mit Pakistan in Verbindung gebracht wird. Die aktuelle Kampagne unterstreicht das anhaltende Interesse an Regierungs- und Finanzinfrastruktur in der Region.

Für deutsche Behörden dürfte der Fall ein weiteres Warnsignal sein: Immer wieder nutzen staatlich gelenkte Hackergruppen hiesige Rechenzentren für ihre Angriffe – und machen Deutschland so zur Drehscheibe internationaler Cyberkonflikte.

de | wissenschaft | 69452291 |