Trotz der Schlagzeilen folgen destruktive Kampagnen erkennbaren operativen Mustern. Wer diese Muster versteht, kann den Schaden begrenzen – selbst wenn Angreifer den Perimeter erfolgreich überwinden. Untersuchungen zur Threat Intelligence rund um das Cluster Handala / Void Manticore zeigen, dass viele iranische destruktive Kampagnen stark auf manuelle Operationen setzen statt auf hochentwickelte Malware.
Die Operatoren greifen häufig auf Werkzeuge zurück, die in Unternehmensumgebungen bereits vorhanden sind. Weil es sich dabei um legitime administrative Hilfsprogramme handelt, können sie sich oft durch Netzwerke bewegen, ohne herkömmliche Malware-Erkennung auszulösen. Forscher beobachteten zudem, dass Operatoren verdeckte Zugangswege über Tunneling-Werkzeuge wie NetBird einrichten, um dauerhaft Verbindung in den Umgebungen ihrer Opfer zu halten.
Anders gesagt: Destruktive Angriffe gelingen oft nicht, weil die Malware ausgefeilt ist, sondern weil Angreifer sich nach dem ersten Zugriff frei im Netzwerk bewegen können. Das Stoppen solcher Kampagnen erfordert daher den Fokus auf Eindämmung und interne Kontrolle – nicht allein auf die Verteidigung des Perimeters.
Die meisten destruktiven Kampagnen beginnen mit kompromittierten Zugangsdaten, die über Phishing, die Wiederverwendung von Passwörtern oder über Zugangshändler erlangt werden. In vielen Umgebungen gewährt eine erfolgreiche VPN-Anmeldung weitreichenden Zugriff auf das interne Netzwerk – genau darauf bauen die Angreifer. Selbst nach erfolgreicher Authentifizierung sollten sie administrative Dienste nicht unmittelbar erreichen können.
Iranische Operatoren bewegen sich seitlich häufig über administrative Standardprotokolle, die in der Umgebung ohnehin vorhanden sind. Weil diese Dienste aus Bequemlichkeit im Betrieb oft offen bleiben, können Angreifer schnell zwischen Systemen wechseln. Hinzu kommt, dass viele Umgebungen Administratoren breiten Zugriff über große Teile des Netzwerks gewähren. Wird ein privilegiertes Konto während eines Einbruchs kompromittiert, lässt sich von dort aus oft nahezu jedes System erreichen. Eine engere Begrenzung administrativer Zugriffsrechte verkleinert den potenziellen Wirkungsradius erheblich.
Da Tunnel die herkömmliche Perimeter-Überwachung umgehen können, brauchen Verteidiger Sichtbarkeit im Inneren des Netzwerks. Treten ungewöhnliche Verbindungsmuster auf, lässt sich eingreifen, bevor die zerstörerische Aktivität beginnt. Setzt Wiper-Malware schließlich ein, kombinieren Angreifer oft mehrere Löschmethoden gleichzeitig, um den Schaden zu maximieren – in dieser Phase zählt Geschwindigkeit. Organisationen, die solche Vorfälle überstehen, konzentrieren sich auf Eindämmung: Geschieht sie schnell genug, kann der Angriff nur eine begrenzte Zahl von Systemen treffen, statt sich über die gesamte Umgebung auszubreiten.
Die iranischen Kampagnen verdeutlichen eine unbequeme Wahrheit: Angreifer benötigen keine ausgefeilte Malware, wenn Netzwerke uneingeschränkten internen Zugriff erlauben. Die wirksamste Verteidigung besteht nicht darin, schädliche Dateien früher zu erkennen, sondern dem Angreifer die Fähigkeit zur Bewegung zu nehmen. Der Beitrag wurde von Zero Networks gesponsert und verfasst.
