Spearphishing-Kampagne zielt auf Energiebranche

B2B Cyber Security ShortNews

Beitrag teilen

Eine neue Spearphishing-Kampagne versucht Energieunternehmen und ihren Zulieferern mit geschickt gefälschten E-Mails Malware unterzujubeln, mit der anschließend Zugangsdaten ausgespäht werden sollen.

Energie-, Öl- und Gasunternehmen sowie andere Unternehmen aus benachbarten Branchen stehen derzeit im Fokus einer raffinierten Phishing-Kampagne, wie das Cybersicherheitsunternehmen Intezer berichtet. Durch die seit mindestens einem Jahr aktive Kampagne soll Malware in die Netzwerke der Unternehmen eingeschleust werden, die dann Nutzernamen, Passwörter und andere sensible Informationen ausspäht und an die kriminellen Hintermänner weiterleitet. Laut den Sicherheitsexperten von Intezer könnte es sich bei den aktuellen Fällen um die erste Phase einer größeren Kampagne handeln.

Außergewöhnlich‍ gut aufgebaute Phishing-E-Mails

Auffällig dabei ist, dass die beschriebenen Phishing-E-Mails außergewöhnlich gut recherchiert sind und damit auf den ersten Blick durchaus legitim erscheinen. So enthalten sie beispielsweise Hinweise auf Führungskräfte, Adressen von Ämtern, offizielle Logos und Angebotsanfragen, Verträge und verweisen auf reale Projekte, um authentisch zu wirken. In einem von den Sicherheitsforschern beschriebenen Fall wurde in der Phishing-E-Mail ein konkretes Kraftwerksprojekt als Köder eingesetzt. Bei derartig hervorragend recherchierten und aufbereiten Kampagnen spricht man von Spearphishing, denn im Gegensatz zum normalen Phishing gehen die Kriminellen sehr methodisch vor und attackieren ein ganz bestimmtes Ziel, anstatt ihre E-Mails möglichst breit zu streuen, in der Hoffnung, dass ihnen jemand in die Falle tappt.

Gefährliches PDF im Anhang

Im aktuellen Fall sollen die Opfer dazu verleitet werden, auf einen Anhang zu klicken, der sich als PDF tarnt. Tatsächlich handelt es sich jedoch um eine IMG-, ISO- oder CAB-Datei, die den Nutzer auf eine ausführbare Datei weiterleitet, über die dann wiederum die Malware auf die Rechner gelangt. Zum Einsatz kommen dabei unterschiedliche Remote Access Tools, also Software für den Fernzugriff, wie Formbook, Agent Tesla oder Loki, die in vielen Fällen als Malware-as-a-Service angeboten werden. Das wiederum bedeutet, dass die Hintermänner der Kampagne ihre Tools nicht selbst entwickeln, sondern ganz einfach auf Bestellung nutzen. Die Sicherheitsforscher von Intezer warnen davor, dass so die Kampagne besser getarnt werden soll, da die gemietete Malware auch bei anderen kriminellen Aktivitäten zum Einsatz kommt. Das wiederum könnte ein Hinweis darauf sein, dass es sich bei den vorliegenden Fällen um die erste Stufe einer größeren Kampagne handelt.

Attacke auf Öl, Gas und Energie-Unternehmen

Verschickt wurden die E-Mails an internationale Unternehmen, die in den Bereichen Öl, Gas und Energie sowie in der Fertigung und der Technologieentwicklung tätig sind. Unter ihnen befinden sich Opfer in den USA, den Vereinigten Arabischen Emiraten, Deutschland und Südkorea. Über die Hintermänner der Angriffe ist derzeit noch nichts bekannt.

Teile der genutzten Infrastruktur konnten mittlerweile entfernt oder ausgeschaltet werden, doch es ist nicht unwahrscheinlich, dass die Kampagne weiterhin aktiv ist. Unternehmen sollten daher extrem vorsichtig sein, wenn es um eingehende E-Mails geht. Besonders von Anhängen und Links geht eine nicht zu unterschätzende Gefahr aus, selbst wenn der Absender und die E-Mail selbst legitim erscheinen.

Mehr bei 8.com

 


Über 8com

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.


 

Passende Artikel zum Thema

Kurios: Malware-Entwickler verrät sich selbst durch Fehler

Die Entlarvung des Styx Stealers: Wie der Ausrutscher eines Hackers zur Entdeckung einer riesigen Datenmenge auf seinem eigenen Computer führte. Der ➡ Weiterlesen

NIS2-Richtlinie für die Cybersicherheit in der EU

Die Einführung der NIS2-Richtlinie der EU, die bis Oktober 2024 von den Mitgliedstaaten in nationales Recht umgesetzt werden soll, bringt ➡ Weiterlesen

Best-of-Breed für die Cybersicherheit

Geschichte wiederholt sich, auch im Bereich der Cybersicherheit. Es gibt Zyklen der Konsolidierung und der Modularisierung. Aktuell wird Konsolidierung wieder ➡ Weiterlesen

Webinar 17. September: NIS2 rechtskonform umsetzen

NIS2 Deep Dive: In einem kostenlosen, deutschsprachigem Webinar am 17. September ab 10 Uhr klärt ein Rechtsanwalt auf, wie Unternehmen ➡ Weiterlesen

Schwachstelle in der Google Cloud Platform (GCP)

Ein Unternehmen für Exposure Management, gibt bekannt, dass das Research Team eine Schwachstelle in der Google Cloud Platform (GCP) identifiziert ➡ Weiterlesen

NIST-Standards zur Quantum-Sicherheit

Die Veröffentlichung der Post-Quantum-Standards durch das National Institute of Standards and Technology (NIST) markiert einen entscheidenden Fortschritt in der Absicherung ➡ Weiterlesen

Cisco-Lizenzierungstool mit kritischen 9.8 Schwachstellen

Cisco meldet kritische Schwachstellen in der Cisco Smart Licensing Utility die einen CVSS Score 9.8 von 10 erreichen. Diese Schwachstellen ➡ Weiterlesen

Ransomware-Attacken: 6 von 10 Unternehmen angegriffen

Die Bitkom hat mehr als 1.000 Unternehmen in Deutschland befragt: Mehr als die Hälfte der Unternehmen werden Opfer von Ransomware-Attacken ➡ Weiterlesen