Thought Leadership
Den Security-Experten von Proofpoint ist es nun gelungen, eine neue Social-Engineering-Attacke von TA456 (Threat Actor 456 – oft auch Imperial Kitten oder Tortoiseshell genannt) aufzudecken. Bei der Kampagne versuchten die Cyberkriminellen über mehrere Jahre hinweg eine Verbindung zu einem Mitarbeiter eines Rüstungsunternehmens im Bereich Luft- und Raumfahrt aufzubauen, um dessen Computer später mit Malware zu infizieren.
Der für den Angriff verantwortlichen Hackergruppe werden Verbindungen zum iranischen Staat sowie dessen Revolutionsgarden nachgesagt.
Proofpoint-Forscher haben eine über Jahre andauernde Social-Engineering- und Malware-Kampagne der vom iranischen Staat unterstützten Hackergruppe TA456 identifiziert. Mit Hilfe des Social-Media-Pseudonyms „Marcella Flores“ etablierten die Cyberkriminellen eine Beziehung zu einem Mitarbeiter einer kleinen Tochtergesellschaft eines Rüstungsunternehmens im Bereich Luft- und Raumfahrt. Zu diesem Zweck wurden sowohl Kommunikationswege des Unternehmens als auch private Kommunikationskanäle genutzt. Anfang Juni dieses Jahres versuchten die Hacker dann, aus der Beziehung Kapital zu schlagen. Dazu wurde dem Opfer im Rahmen eines andauernden Mail-Verlaufs Schadsoftware geschickt.
Das hierzu verwendete Dokument, das mit Makros versehen war, enthielt einen personalisierten Inhalt und unterstreicht damit die Bedeutung, die TA456 der Zielperson beimaß. Bei der Malware, die dabei zum Einsatz kam, handelte es sich um eine neue Version der Schadsoftware Liderc, der Proofpoint den Namen LEMPO gab. Sobald diese auf einem Zielsystem installiert wurde, kann sie auf dem infizierten Rechner Spionage betreiben, die gesammelten Informationen auf dem Host speichern, sensible Daten über SMTPS an ein von den Hintermännern kontrolliertes E-Mail-Konto weiterleiten und im späteren Verlauf ihre Spuren verwischen, indem sie die Host-Artefakte des jeweiligen Tages löscht.
Diese Kampagne ist ein gutes Beispiel, das belegt, wie hartnäckig bestimmte staatlich unterstützte Hackergruppen Social Engineering zur Unterstützung von Spionageaktivitäten betreiben. Bereits Mitte Juli wurde bekannt, dass Facebook ein Netzwerk ähnlicher Pseudonyme enttarnt hatte, das sie ebenfalls dieser Hackergruppe zuschrieben.
„Proofpoint entdeckt regelmäßig Kampagnen von TA456, bei denen versucht wird, Kunden aus der Rüstungsbranche auszuspionieren, insbesondere solche, die in der Luft- und Raumfahrttechnik tätig sind,“ sagt Sherrod DeGrippo, Senior Director of Threat Research and Protection bei Proofpoint. „Die Spionage-E-Mails von TA456 enthalten in der Regel eine Reihe personalisierter Links zusammen mit einem Tracking-Pixel, das auf einer von der Gruppe kontrollierten Website gehostet wird. TA456 nutzt dann Beziehungen, die via sozialer Medien wie Facebook gepflegt werden, um Malware in sensible Netzwerke einzuschleusen.“
www.proofpoint.com/de
