Auffällig dabei ist, dass die beschriebenen Phishing-E-Mails außergewöhnlich gut recherchiert sind und damit auf den ersten Blick durchaus legitim erscheinen. So enthalten sie beispielsweise Hinweise auf Führungskräfte, Adressen von Ämtern, offizielle Logos und Angebotsanfragen, Verträge und verweisen auf reale Projekte, um authentisch zu wirken. In einem von den Sicherheitsforschern beschriebenen Fall wurde in der Phishing-E-Mail ein konkretes Kraftwerksprojekt als Köder eingesetzt. Bei derartig hervorragend recherchierten und aufbereiten Kampagnen spricht man von Spearphishing, denn im Gegensatz zum normalen Phishing gehen die Kriminellen sehr methodisch vor und attackieren ein ganz bestimmtes Ziel, anstatt ihre E-Mails möglichst breit zu streuen, in der Hoffnung, dass ihnen jemand in die Falle tappt.
Im aktuellen Fall sollen die Opfer dazu verleitet werden, auf einen Anhang zu klicken, der sich als PDF tarnt. Tatsächlich handelt es sich jedoch um eine IMG-, ISO- oder CAB-Datei, die den Nutzer auf eine ausführbare Datei weiterleitet, über die dann wiederum die Malware auf die Rechner gelangt. Zum Einsatz kommen dabei unterschiedliche Remote Access Tools, also Software für den Fernzugriff, wie Formbook, Agent Tesla oder Loki, die in vielen Fällen als Malware-as-a-Service angeboten werden. Das wiederum bedeutet, dass die Hintermänner der Kampagne ihre Tools nicht selbst entwickeln, sondern ganz einfach auf Bestellung nutzen. Die Sicherheitsforscher von Intezer warnen davor, dass so die Kampagne besser getarnt werden soll, da die gemietete Malware auch bei anderen kriminellen Aktivitäten zum Einsatz kommt. Das wiederum könnte ein Hinweis darauf sein, dass es sich bei den vorliegenden Fällen um die erste Stufe einer größeren Kampagne handelt.
Verschickt wurden die E-Mails an internationale Unternehmen, die in den Bereichen Öl, Gas und Energie sowie in der Fertigung und der Technologieentwicklung tätig sind. Unter ihnen befinden sich Opfer in den USA, den Vereinigten Arabischen Emiraten, Deutschland und Südkorea. Über die Hintermänner der Angriffe ist derzeit noch nichts bekannt.
Teile der genutzten Infrastruktur konnten mittlerweile entfernt oder ausgeschaltet werden, doch es ist nicht unwahrscheinlich, dass die Kampagne weiterhin aktiv ist. Unternehmen sollten daher extrem vorsichtig sein, wenn es um eingehende E-Mails geht. Besonders von Anhängen und Links geht eine nicht zu unterschätzende Gefahr aus, selbst wenn der Absender und die E-Mail selbst legitim erscheinen.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de