Anzeige

Cybercrime

Den Security-Experten von Proofpoint ist es nun gelungen, eine neue Social-Engineering-Attacke von TA456 (Threat Actor 456 – oft auch Imperial Kitten oder Tortoiseshell genannt) aufzudecken. Bei der Kampagne versuchten die Cyberkriminellen über mehrere Jahre hinweg eine Verbindung zu einem Mitarbeiter eines Rüstungsunternehmens im Bereich Luft- und Raumfahrt aufzubauen, um dessen Computer später mit Malware zu infizieren.

Der für den Angriff verantwortlichen Hackergruppe werden Verbindungen zum iranischen Staat sowie dessen Revolutionsgarden nachgesagt.

Proofpoint-Forscher haben eine über Jahre andauernde Social-Engineering- und Malware-Kampagne der vom iranischen Staat unterstützten Hackergruppe TA456 identifiziert. Mit Hilfe des Social-Media-Pseudonyms „Marcella Flores“ etablierten die Cyberkriminellen eine Beziehung zu einem Mitarbeiter einer kleinen Tochtergesellschaft eines Rüstungsunternehmens im Bereich Luft- und Raumfahrt. Zu diesem Zweck wurden sowohl Kommunikationswege des Unternehmens als auch private Kommunikationskanäle genutzt. Anfang Juni dieses Jahres versuchten die Hacker dann, aus der Beziehung Kapital zu schlagen. Dazu wurde dem Opfer im Rahmen eines andauernden Mail-Verlaufs Schadsoftware geschickt.

Das hierzu verwendete Dokument, das mit Makros versehen war, enthielt einen personalisierten Inhalt und unterstreicht damit die Bedeutung, die TA456 der Zielperson beimaß. Bei der Malware, die dabei zum Einsatz kam, handelte es sich um eine neue Version der Schadsoftware Liderc, der Proofpoint den Namen LEMPO gab. Sobald diese auf einem Zielsystem installiert wurde, kann sie auf dem infizierten Rechner Spionage betreiben, die gesammelten Informationen auf dem Host speichern, sensible Daten über SMTPS an ein von den Hintermännern kontrolliertes E-Mail-Konto weiterleiten und im späteren Verlauf ihre Spuren verwischen, indem sie die Host-Artefakte des jeweiligen Tages löscht.

Diese Kampagne ist ein gutes Beispiel, das belegt, wie hartnäckig bestimmte staatlich unterstützte Hackergruppen Social Engineering zur Unterstützung von Spionageaktivitäten betreiben. Bereits Mitte Juli wurde bekannt, dass Facebook ein Netzwerk ähnlicher Pseudonyme enttarnt hatte, das sie ebenfalls dieser Hackergruppe zuschrieben.

„Proofpoint entdeckt regelmäßig Kampagnen von TA456, bei denen versucht wird, Kunden aus der Rüstungsbranche auszuspionieren, insbesondere solche, die in der Luft- und Raumfahrttechnik tätig sind,“ sagt Sherrod DeGrippo, Senior Director of Threat Research and Protection bei Proofpoint. „Die Spionage-E-Mails von TA456 enthalten in der Regel eine Reihe personalisierter Links zusammen mit einem Tracking-Pixel, das auf einer von der Gruppe kontrollierten Website gehostet wird. TA456 nutzt dann Beziehungen, die via sozialer Medien wie Facebook gepflegt werden, um Malware in sensible Netzwerke einzuschleusen.“

www.proofpoint.com/de


Artikel zu diesem Thema

Ransomware
Jul 28, 2021

Ransomware-Anstieg um 800 Prozent: Impfprogramme im Visier von Cyberkriminellen

Deep Instinct, ein Unternehmen, das mittels eines KI-basierten Deep Learning Programms…
Cyber Security
Jul 27, 2021

Cyberangriffen vorbeugen und Schwachstellen erkennen

Viele Unternehmen sind sich der Schwachstellen in ihren IT-Anwendungen nicht bewusst.…

Weitere Artikel

Hacker Corona

Corona-Virus als Treiber für Cyberangriffe

Tenable hat die Ergebnisse einer Studie veröffentlicht, nach der 78 % der deutschen Unternehmen die jüngsten geschäftsschädigenden Cyberangriffe auf Schwachstellen in Technologien zurückführen, die während der Corona-Pandemie eingeführt wurden.
Cyber Security

Cybercrime: Worum sich Unternehmen jetzt kümmern sollten

Online-Betrug ist so präsent wie nie zuvor. Allein im Bereich E-Commerce sind neun von zehn Händlern in Deutschland, Österreich und der Schweiz im vergangenen Jahr mit Betrug oder entsprechenden Versuchen konfrontiert worden, wie die Studie „Betrug im…
LKW

Fortschrittliche LKW-Technologie begünstigt Cyberangriffe

Je mehr Hightech in LKW-Flotten verbaut wird, desto effizienter wird das Flottenmanagement. Hinzu kommen Sicherheitsaspekte im Straßenverkehr. Doch mit der Vernetzung steigen auch die Risiken für einen Cyberangriff auf die Logistikbranche.
Digitale Forensik

Digitale Forensik gewinnt an Bedeutung

Die Digital Forensics Umfrage 2021 vor beschäftigt sich mit der Professionalisierung des Berufszweigs und der Bewertung der Fähigkeiten durch die Befragten. Die Umfrage zeigt, dass die meisten der 370 Umfrage-Teilnehmer grundlegende Fähigkeiten und Wissen…
Bundestagswahl

So angreifbar ist die Bundestagswahl

Aufgrund des analogen Wahl- und Auszählverfahrens gilt die Bundestagswahl als relativ sicher gegen direkte Manipulationsversuche durch Hacker. Doch auch wenn es für Cyber-Kriminelle kaum möglich sein dürfte, die Wahl direkt zu beeinflussen, gibt es im Vorfeld…
Cyberangriff

Cyberbedrohungen 2021: Phishing und Identitätsdiebstahl am wichtigsten

Das SANS Institute, Anbieter von Cybersecurity-Trainings und -Zertifizierungen, stellt die Ergebnisse seines SANS 2021 Top New Attacks and Threat Reports vor.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.