Anzeige

Cybercrime

Den Security-Experten von Proofpoint ist es nun gelungen, eine neue Social-Engineering-Attacke von TA456 (Threat Actor 456 – oft auch Imperial Kitten oder Tortoiseshell genannt) aufzudecken. Bei der Kampagne versuchten die Cyberkriminellen über mehrere Jahre hinweg eine Verbindung zu einem Mitarbeiter eines Rüstungsunternehmens im Bereich Luft- und Raumfahrt aufzubauen, um dessen Computer später mit Malware zu infizieren.

Der für den Angriff verantwortlichen Hackergruppe werden Verbindungen zum iranischen Staat sowie dessen Revolutionsgarden nachgesagt.

Proofpoint-Forscher haben eine über Jahre andauernde Social-Engineering- und Malware-Kampagne der vom iranischen Staat unterstützten Hackergruppe TA456 identifiziert. Mit Hilfe des Social-Media-Pseudonyms „Marcella Flores“ etablierten die Cyberkriminellen eine Beziehung zu einem Mitarbeiter einer kleinen Tochtergesellschaft eines Rüstungsunternehmens im Bereich Luft- und Raumfahrt. Zu diesem Zweck wurden sowohl Kommunikationswege des Unternehmens als auch private Kommunikationskanäle genutzt. Anfang Juni dieses Jahres versuchten die Hacker dann, aus der Beziehung Kapital zu schlagen. Dazu wurde dem Opfer im Rahmen eines andauernden Mail-Verlaufs Schadsoftware geschickt.

Das hierzu verwendete Dokument, das mit Makros versehen war, enthielt einen personalisierten Inhalt und unterstreicht damit die Bedeutung, die TA456 der Zielperson beimaß. Bei der Malware, die dabei zum Einsatz kam, handelte es sich um eine neue Version der Schadsoftware Liderc, der Proofpoint den Namen LEMPO gab. Sobald diese auf einem Zielsystem installiert wurde, kann sie auf dem infizierten Rechner Spionage betreiben, die gesammelten Informationen auf dem Host speichern, sensible Daten über SMTPS an ein von den Hintermännern kontrolliertes E-Mail-Konto weiterleiten und im späteren Verlauf ihre Spuren verwischen, indem sie die Host-Artefakte des jeweiligen Tages löscht.

Diese Kampagne ist ein gutes Beispiel, das belegt, wie hartnäckig bestimmte staatlich unterstützte Hackergruppen Social Engineering zur Unterstützung von Spionageaktivitäten betreiben. Bereits Mitte Juli wurde bekannt, dass Facebook ein Netzwerk ähnlicher Pseudonyme enttarnt hatte, das sie ebenfalls dieser Hackergruppe zuschrieben.

„Proofpoint entdeckt regelmäßig Kampagnen von TA456, bei denen versucht wird, Kunden aus der Rüstungsbranche auszuspionieren, insbesondere solche, die in der Luft- und Raumfahrttechnik tätig sind,“ sagt Sherrod DeGrippo, Senior Director of Threat Research and Protection bei Proofpoint. „Die Spionage-E-Mails von TA456 enthalten in der Regel eine Reihe personalisierter Links zusammen mit einem Tracking-Pixel, das auf einer von der Gruppe kontrollierten Website gehostet wird. TA456 nutzt dann Beziehungen, die via sozialer Medien wie Facebook gepflegt werden, um Malware in sensible Netzwerke einzuschleusen.“

www.proofpoint.com/de


Artikel zu diesem Thema

Ransomware
Jul 28, 2021

Ransomware-Anstieg um 800 Prozent: Impfprogramme im Visier von Cyberkriminellen

Deep Instinct, ein Unternehmen, das mittels eines KI-basierten Deep Learning Programms…
Cyber Security
Jul 27, 2021

Cyberangriffen vorbeugen und Schwachstellen erkennen

Viele Unternehmen sind sich der Schwachstellen in ihren IT-Anwendungen nicht bewusst.…

Weitere Artikel

Phishing

DHL: die meist imitierte Marke bei Phishing-Versuchen

Der aktuelle Q4 Brand Phishing Report von Check Point Research zeigt auf, welche Marken am häufigsten von Hackern nachgeahmt wurden.
Phishing

Phishing-E-Mails werden immer raffinierter

KnowBe4, der Anbieter für Sicherheitsschulungen und Phishing-Simulationen, gibt die Ergebnisse seines Phishing-Berichts für das vierte Quartal 2021 bekannt.
Hacker

Gefahr durch Brand Impersonation und Ransomleaks wächst

Cyberkriminalität bleibt eine der größten Bedrohungen weltweit: Im neuen Cyber Threat Report Edition 2021/2022 veröffentlicht der E-Mail-Cloud-Security- und Backup-Provider Hornetsecurity die neusten Insights und Daten zur aktuellen Bedrohungslage mit Fokus…
Ukraine Hack

Der Angriff und das Defacement von Webseiten der ukrainischen Regierung

Am Freitagmorgen wurden mehrere Webseiten der ukrainischen Regierung und Botschaft angegriffen. Im Folgenden finden Sie einen Kommentar von John Hultquist, Vice President, Intelligence Analysis bei Mandiant, zu diesem Vorfall.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.