Eine neue Spearphishing-Kampagne versucht Energieunternehmen und ihren Zulieferern mit geschickt gefälschten E-Mails Malware unterzujubeln, mit der anschließend Zugangsdaten ausgespäht werden sollen.
Energie-, Öl- und Gasunternehmen sowie andere Unternehmen aus benachbarten Branchen stehen derzeit im Fokus einer raffinierten Phishing-Kampagne, wie das Cybersicherheitsunternehmen Intezer berichtet. Durch die seit mindestens einem Jahr aktive Kampagne soll Malware in die Netzwerke der Unternehmen eingeschleust werden, die dann Nutzernamen, Passwörter und andere sensible Informationen ausspäht und an die kriminellen Hintermänner weiterleitet. Laut den Sicherheitsexperten von Intezer könnte es sich bei den aktuellen Fällen um die erste Phase einer größeren Kampagne handeln.
Außergewöhnlich gut aufgebaute Phishing-E-Mails
Auffällig dabei ist, dass die beschriebenen Phishing-E-Mails außergewöhnlich gut recherchiert sind und damit auf den ersten Blick durchaus legitim erscheinen. So enthalten sie beispielsweise Hinweise auf Führungskräfte, Adressen von Ämtern, offizielle Logos und Angebotsanfragen, Verträge und verweisen auf reale Projekte, um authentisch zu wirken. In einem von den Sicherheitsforschern beschriebenen Fall wurde in der Phishing-E-Mail ein konkretes Kraftwerksprojekt als Köder eingesetzt. Bei derartig hervorragend recherchierten und aufbereiten Kampagnen spricht man von Spearphishing, denn im Gegensatz zum normalen Phishing gehen die Kriminellen sehr methodisch vor und attackieren ein ganz bestimmtes Ziel, anstatt ihre E-Mails möglichst breit zu streuen, in der Hoffnung, dass ihnen jemand in die Falle tappt.
Gefährliches PDF im Anhang
Im aktuellen Fall sollen die Opfer dazu verleitet werden, auf einen Anhang zu klicken, der sich als PDF tarnt. Tatsächlich handelt es sich jedoch um eine IMG-, ISO- oder CAB-Datei, die den Nutzer auf eine ausführbare Datei weiterleitet, über die dann wiederum die Malware auf die Rechner gelangt. Zum Einsatz kommen dabei unterschiedliche Remote Access Tools, also Software für den Fernzugriff, wie Formbook, Agent Tesla oder Loki, die in vielen Fällen als Malware-as-a-Service angeboten werden. Das wiederum bedeutet, dass die Hintermänner der Kampagne ihre Tools nicht selbst entwickeln, sondern ganz einfach auf Bestellung nutzen. Die Sicherheitsforscher von Intezer warnen davor, dass so die Kampagne besser getarnt werden soll, da die gemietete Malware auch bei anderen kriminellen Aktivitäten zum Einsatz kommt. Das wiederum könnte ein Hinweis darauf sein, dass es sich bei den vorliegenden Fällen um die erste Stufe einer größeren Kampagne handelt.
Attacke auf Öl, Gas und Energie-Unternehmen
Verschickt wurden die E-Mails an internationale Unternehmen, die in den Bereichen Öl, Gas und Energie sowie in der Fertigung und der Technologieentwicklung tätig sind. Unter ihnen befinden sich Opfer in den USA, den Vereinigten Arabischen Emiraten, Deutschland und Südkorea. Über die Hintermänner der Angriffe ist derzeit noch nichts bekannt.
Teile der genutzten Infrastruktur konnten mittlerweile entfernt oder ausgeschaltet werden, doch es ist nicht unwahrscheinlich, dass die Kampagne weiterhin aktiv ist. Unternehmen sollten daher extrem vorsichtig sein, wenn es um eingehende E-Mails geht. Besonders von Anhängen und Links geht eine nicht zu unterschätzende Gefahr aus, selbst wenn der Absender und die E-Mail selbst legitim erscheinen.
Mehr bei 8.com
Über 8com Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.