Hackergruppe spioniert zuerst, ob Opfer lukrativ sind

Anzeige

Beitrag teilen

Security-Experten von Proofpoint haben eine neue Hackergruppe mit dem Namen TA866 enttarnt, die zwischen Oktober 2022 und Januar 2023 zehntausende Unternehmen mit Malware attackierte. Die Aktivitäten zielen insbesondere auf Organisationen in Deutschland und USA ab.

Ein Detail bei den Angriffen von TA866 sticht hervor: Die Cyberkriminellen analysieren zunächst Screenshots der IT-Umgebungen ihrer potenziellen Opfer, um besonders lukrative Ziele zu identifizieren. Nur wenn sich weiteres Engagement aus ihrer Sicht lohnt, versuchen sie das Opfer mit einem Bot bzw. einem Stealer zu infizieren.

Anzeige

🔎 Die Angriffskette zeigt alle beteiligten Skripte, Tools und Schadprogramme (Bild: Proofpoint).

Angriffsstart mit Screentime

Seit Oktober 2022 bis in den Januar 2023 hinein hat Proofpoint eine Häufung von finanziell motivierten Aktivitäten beobachtet, die die Experten als „Screentime“ bezeichnen. Die Angriffskette beginnt mit einer E-Mail, die einen bösartigen Anhang oder eine URL enthält. Beides führt zu Malware, die als “WasabiSeed” und “Screenshotter” bezeichnet. In einigen Fällen beobachtete Proofpoint im Nachgang zur primären Infektion Aktivitäten, die AHK Bot und Rhadamanthys Stealer umfassten.

Die meisten Kampagnen im Oktober und November 2022 umfassten nur eine begrenzte Anzahl von E-Mails und konzentrierten sich auf eine kleine Zahl von Unternehmen. Die Kampagnen wurden im Durchschnitt ein- bis zweimal pro Woche beobachtet und die Nachrichten enthielten angehängte Publisher-Dateien. Im November und Dezember 2022, etwa zu dem Zeitpunkt, als die Gruppe zur Verwendung von URLs überging, nahm der Umfang der Operationen zu, und das E-Mail-Volumen stieg drastisch an. Typische Kampagnen umfassten Tausende oder sogar Zehntausende von E-Mails und konnten zwei- bis viermal pro Woche beobachtet werden. Im Januar 2023 verringerte sich die Häufigkeit der Kampagnen, allerdings wuchs das E-Mail-Volumen noch stärker an.


Die Infektionskette

Am 23. und 24. Januar 2023 beobachtete Proofpoint zehntausende von E-Mail-Nachrichten, die auf über tausend Unternehmen abzielten. Die Nachrichten hatten Organisationen in den USA und Deutschland zum Ziel. Die verschickten E-Mails schienen auf Thread-Hijacking zu setzen und lockten mit Betreffzeilen wie „Check my presentation“. Diese Nachrichten enthielten bösartige URLs, die eine mehrstufige Angriffskette einleiteten. Wenn ein Benutzer auf die URL klickt, setzt er die Angriffskette in Gang. In einem Blogbeitrag bei Proofpoint werden alle einzelnen Schritte beleuchtet und anhand diverser Screenshots belegt.

Mehr bei proofpoint.com

 


Über Proofpoint

Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.


 

Passende Artikel zum Thema

Report: IT-Führungskräfte halten XDR für notwendig

Eine neue Studie unterstreicht die Unsicherheit bei XDR-Definition, Implementierung und benötigte Ressourcen. Der Report von ExtraHop zeigt, dass 78 Prozent ➡ Weiterlesen

Gefahrenlage ganzheitlich unter Kontrolle

Zentralisiertes Monitoring und automatisierte Gefahrenabwehr über alle Netzwerksicherheits- und Endpoint-Security-Produkte hinweg: Mit ThreatSync bietet WatchGuard ab sofort eine umfassende XDR-Lösung als ➡ Weiterlesen

Password-Management zum Schutz von Enterprise-Nutzern

Neue und erweiterte Funktionen für Workforce Password Management: Die Cloud-basierte Enterprise-Lösung für das Passwort-Management erlaubt es Mitarbeitern, ihre Passwörter und ➡ Weiterlesen

Proaktives Incident Response für SaaS

Mit der Einführung von Proactive Incident Response verbessert Varonis die Datensicherheit seiner Kunden. Im Rahmen des SaaS-Angebots überwacht ein Team ➡ Weiterlesen

Spray-and-Pray-Angriffe gegen ManageEngine-IT-Tools

Mit einer opportunistischen Attacke greifen Cyberkriminelle seit Januar 2023 weltweit Implementierungen der ManageEngine-Softwarelösungen der Zoho Corporation an. Durch automatisierte Scans ➡ Weiterlesen

Emotet übernimmt Microsoft OneNote-Anhänge

Emotet geht wieder neue Wege und infiziert Microsoft OneNote-Dokumente. Das in Unternehmen beliebte digitale Notizbuch ist für viele Anwender somit ➡ Weiterlesen

Phishing-Attacken erreichen Allzeithoch

Mehr als 30 Prozent der Unternehmen und Privatanwender waren in jedem Quartal von 2022 mobilen Phishing-Angriffen ausgesetzt. Stark regulierte Branchen ➡ Weiterlesen

High-End-Plattformen gegen DDoS 

Radware stellt unter der Bezeichnung DefensePro X eine leistungsstarke neue Serie von sechs -Abwehrplattformen gegen Cyberangriffe und DDoS vor. Ebenfalls ➡ Weiterlesen