Anzeige

Spionage-Gruppe

ESET Forscher haben gezielte Angriffe auf Luft- und Raumfahrt- sowie Rüstungskonzerne in Europa und im Nahen Osten aufgedeckt. Die Attacken liefen von September bis Dezember 2019.

In Zusammenarbeit mit zwei der betroffenen Unternehmen konnten die ESET Forscher Einblicke in die Vorgehensweise der Spionagegruppe erhalten und eine bisher unbekannte Malware analysieren. Die Spionage-Aktivitäten bezeichnen die Experten des europäischen IT-Sicherheitsherstellers als „Operation In(ter)ception“. Die Kampagne war sehr zielgerichtet und darauf ausgelegt, viele Informationen zu erlangen und dabei unerkannt zu bleiben. Um die Ziele zu kompromittieren, nutzten die Angreifer Social-Engineering Methoden. Über LinkedIn schrieben die Hacker Mitarbeiter der betroffenen Unternehmen an und unterbreiteten diesen lukrative aber gefälschte Jobangebote. Datendiebstahl war aber nicht ihr einziges Ziel. Mit den gekaperten E-Mail-Accounts sollten auch Kunden der infiltrierten Unternehmen zu Zahlungen gefälschter Rechnungen gebracht werden. Ihre Analyse und detaillierte Informationen haben die ESET Forscher heute in einem Whitepaper auf WeLiveSecurity veröffentlicht.

„Die Angriffe, die wir untersucht haben, enthielten alle Merkmale einer Cyberspionage-Kampagne. Wir konnten im Zuge unserer Analyse mehrere Hinweise entdecken, die wir mit der einschlägig bekannten Lazarus-Gruppe in Verbindung bringen können“, so Dominik Breitenbacher, ESET Malware Researcher. „Weder die Malware-Analyse noch die nachfolgenden Untersuchungen ermöglichten eine klare Aussage, auf welche Dateien es die Angreifer genau abgesehen haben.“

Social Engineering: Die Tür ins Unternehmensnetzwerk

Im aktuellen Fall haben die Angreifer auf Social-Engineering Methoden gesetzt. Mit Fake-Profilen bei LinkedIn gaben sie sich als vermeintliche Mitarbeiter der Personalabteilung von namhaften Luft- und Raumfahrt- sowie Rüstungskonzernen wie Collins Aerospace und General Dynamics aus. Hierüber schrieben sie Mitarbeiter der anvisierten Konzerne an, schickten ihnen gefälschte Job-Angebote und erlangten so ihr Vertrauen. Mit einem Fuß in der Tür startete die zweite Phase, und maßgeschneiderte Schadprogramme kamen zum Einsatz. Die Malware verbarg sich in RAR-Archiven, die vermeintliche Details zu den Jobangeboten beinhalteten.

Datendiebstahl und weitere Betrugsmasche

Nach der Infektion standen den Angreifern eine Vielzahl an Tools zur Verfügung. Dabei ging es den Hackern nicht nur darum Unternehmensdaten zu stehlen. In einem Fall haben sie über den gekaperten E-Mail-Account Kunden des Unternehmens angeschrieben, um vermeintlich offene Rechnungen bezahlen zu lassen.

Und wer steckt dahinter?

Die ESET Forscher konnten bei ihren Untersuchungen keine zwingenden Beweise für eine Verbindung von Operation In(ter)ception zu einer bekannten Spionagegruppe entdecken. Dennoch fanden die Experten mehrere Hinweise, die auf eine Verbindung mit der Lazarus-Gruppe hindeuten. Es bestehen Ähnlichkeiten in der Zielausrichtung, der Verwendung gefälschter LinkedIn-Konten, der Entwicklungsumgebung sowie den Techniken, um einer Erkennung zu entgehen. Die Lazarus-Gruppe ist 2009 das erste Mal entdeckt worden. Bekannt wurden die Cyberkriminellen 2014 mit ihrem Angriff auf Sony Pictures.

www.eset.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Hacker Login
Jun 17, 2020

Privilegierte Accounts: Die Risiken des Missbrauchs reduzieren

Der privilegierte Zugang zu Konten/Accounts ist ein attraktiver Einstiegspunkt für…
Cyber Crime Mensch
Jan 28, 2020

Social Engineering - Die Kunst der Täuschung

Beim Social Engineering nutzen Cyber-Angreifer den „Faktor Mensch“ als vermeintlich…
Spyware
Sep 23, 2019

Lazarus ist zurück: Bislang unbekannte Spyware Dtrack entdeckt

Die Sicherheitsexperten von Kaspersky haben ein bislang unbekanntes Spionagetool…

Weitere Artikel

Hackerangriff

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der beliebtesten verwendeten Passwörter in weniger als einer Sekunde geknackt werden.
Windows 7

5,2 Mio. Computer in Deutschland nutzen alte Windows-Versionen

Windows-Betriebssysteme haben in Deutschland bei Desktop-PCs und Notebooks einen Marktanteil von rund 80 Prozent. Die gute Nachricht: Ein Großteil der eingesetzten Geräte nutzt das aktuelle Windows 10. Doch ein genauer Blick auf die Zahlen zeigt eine sehr…
Ransomware

Der Aufstieg der Ryuk Ransomware

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall.
Hackerangriff

Vorsorgepläne als Ziel von Hackern

Da Vorsorgepläne sensible persönliche und finanzielle Daten enthalten, werden Cyberangriffe auf Altersvorsorge-, Renten- und Langzeitvorsorgepläne immer häufiger. Diese Daten zu schützen bedeutet, die Bedrohung zu verstehen und Richtlinien zum Schutz von…
Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!