Thought Leadership
Ein APT will sich zurückziehen – KMUs im Visier von staatlich organisiertem Finanzdiebstahl
Neben Spionage, Diebstahl geistigen Eigentums und zerstörerischen Angriffen stellen finanziell motivierte Angriffe durch staatlich gesteuerte Angreifer eine anhaltende Bedrohung für den Finanzdienstleistungssektor dar. APT-Akteure, die mit Nordkorea verbündet sind, haben in den letzten Jahren Finanzdienstleistungsinstitute, dezentrale Finanzsysteme und Blockchain-Technologien ins Visier genommen, um Gelder und Kryptowährungen zu stehlen. Diese Gelder werden größtenteils zur Finanzierung verschiedener Aktivitäten der nordkoreanischen Regierung verwendet. Im Dezember 2022 beobachtete Proofpoint, dass eine mittelgroße Digitalbank in den USA Ziel einer Phishing-Kampagne von TA444 wurde. Diese Gruppe wird mit Nordkorea in Verbindung gebracht. In der E-Mail wurde eine Absenderadresse verwendet, die sich als ABF Capital ausgab, um eine bösartige URL zu übermitteln, die eine Infektionskette auslöste, die zur Auslieferung der CageyChameleon-Malware führte. Proofpoint hat vor kurzem Einzelheiten zu TA444 und dessen Auftauchen in der zweiten Jahreshälfte 2022 veröffentlicht.
Regionale Managed Service Provider zunehmend Ziel von Phishing
Der letzte Trend, der zwischen 2022 und 2023 zu beobachten ist, besteht darin, dass APTs zunehmend auf anfällige regionale Managed Service Provider (MSP) abzielen, um Angriffe auf die Lieferkette zu initiieren. Regionale MSP schützen oft Hunderte von kleinen und mittleren Unternehmen in ihrer Region, und viele von ihnen verfügen nur über begrenzte Cybersicherheitsmaßnahmen, die oft nicht dem Stand der Technik für den Unternehmenseinsatz entsprechen. APT-Akteure haben diese Diskrepanz zwischen dem gebotenen Verteidigungsniveau und den potenziellen Möglichkeiten erkannt, Zugang zu begehrten Endnutzerumgebungen zu erhalten. So hat Proofpoint Fälle beobachtet, in denen regionale MSPs im Rahmen von Phishing-Kampagnen in Regionen angegriffen wurden, die den strategischen Anforderungen von APT-Akteuren entsprechen.
Mitte Januar 2023 beobachteten Experten von Proofpoint, wie TA450 — öffentlich bekannt als Muddywater und dem iranischen Ministerium für Nachrichtenwesen und Sicherheit zugeschrieben — zwei regionale israelische MSPs und IT-Support-Unternehmen mit einer Phishing-E-Mail-Kampagne angriff. Die E-Mails stammten von einer manipulierten E-Mail-Adresse eines mittelständischen israelischen Finanzdienstleisters und enthielten eine URL für den Cloud-Hosting-Anbieter OneHub. Beim Anklicken dieser URL wurde ein Zip-Archiv mit einer legitimen ausführbaren Datei für das Remote-Administrationstool Syncro bereitgestellt. Obwohl es sich bei Syncro um ein legitimes Remote-Administrationstool handelt, das in Unternehmen eingesetzt wird, können die Angreifer in diesem Zusammenhang das Remote-Administrationstool nach der Installation auf dem Zielhost wie einen Remote-Access-Trojaner verwenden und weitere Eindringversuche unternehmen, wahrscheinlich sowohl mit nativen Tools als auch mit proprietärer Malware.
Die jüngste Kampagne deutet darauf hin, dass TA450 weiterhin regionale Technologieanbieter ins Visier nimmt, um sich über Angriffe auf die Lieferkette Zugang zu nachgelagerten KMU zu verschaffen.
Bild 4: Beispiel einer TA450 Syncro-Infektionskette, ca. Januar 2023.
Fazit
Die immer komplexer werdende APT-Phishing-Landschaft zeigt auf einen Blick, dass Cyberkriminelle im Rahmen ihrer staatlich gelenkten Sammelbemühungen mit Eifer anfällige KMUs und regionale MSPs ins Visier nehmen. Daten von Proofpoint aus dem vergangenen Jahr zeigen, dass sich mehrere Nationen und bekannte APT-Bedrohungsakteure neben Regierungen, Militär und Großunternehmen auch auf KMU konzentrieren. Durch die Kompromittierung der Infrastruktur kleiner und mittlerer Unternehmen für sekundäre Ziele, staatlich gelenkten Finanzdiebstahl und regionale MSP-Angriffe auf die Lieferkette stellen APT-Gruppen ein erhebliches Risiko für KMU dar.
www.proofpoint.com/de
