Spearphishing-Kampagne zielt auf Energiebranche

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Eine neue Spearphishing-Kampagne versucht Energieunternehmen und ihren Zulieferern mit geschickt gefälschten E-Mails Malware unterzujubeln, mit der anschließend Zugangsdaten ausgespäht werden sollen.

Energie-, Öl- und Gasunternehmen sowie andere Unternehmen aus benachbarten Branchen stehen derzeit im Fokus einer raffinierten Phishing-Kampagne, wie das Cybersicherheitsunternehmen Intezer berichtet. Durch die seit mindestens einem Jahr aktive Kampagne soll Malware in die Netzwerke der Unternehmen eingeschleust werden, die dann Nutzernamen, Passwörter und andere sensible Informationen ausspäht und an die kriminellen Hintermänner weiterleitet. Laut den Sicherheitsexperten von Intezer könnte es sich bei den aktuellen Fällen um die erste Phase einer größeren Kampagne handeln.

Anzeige

Außergewöhnlich‍ gut aufgebaute Phishing-E-Mails

Auffällig dabei ist, dass die beschriebenen Phishing-E-Mails außergewöhnlich gut recherchiert sind und damit auf den ersten Blick durchaus legitim erscheinen. So enthalten sie beispielsweise Hinweise auf Führungskräfte, Adressen von Ämtern, offizielle Logos und Angebotsanfragen, Verträge und verweisen auf reale Projekte, um authentisch zu wirken. In einem von den Sicherheitsforschern beschriebenen Fall wurde in der Phishing-E-Mail ein konkretes Kraftwerksprojekt als Köder eingesetzt. Bei derartig hervorragend recherchierten und aufbereiten Kampagnen spricht man von Spearphishing, denn im Gegensatz zum normalen Phishing gehen die Kriminellen sehr methodisch vor und attackieren ein ganz bestimmtes Ziel, anstatt ihre E-Mails möglichst breit zu streuen, in der Hoffnung, dass ihnen jemand in die Falle tappt.

Gefährliches PDF im Anhang

Im aktuellen Fall sollen die Opfer dazu verleitet werden, auf einen Anhang zu klicken, der sich als PDF tarnt. Tatsächlich handelt es sich jedoch um eine IMG-, ISO- oder CAB-Datei, die den Nutzer auf eine ausführbare Datei weiterleitet, über die dann wiederum die Malware auf die Rechner gelangt. Zum Einsatz kommen dabei unterschiedliche Remote Access Tools, also Software für den Fernzugriff, wie Formbook, Agent Tesla oder Loki, die in vielen Fällen als Malware-as-a-Service angeboten werden. Das wiederum bedeutet, dass die Hintermänner der Kampagne ihre Tools nicht selbst entwickeln, sondern ganz einfach auf Bestellung nutzen. Die Sicherheitsforscher von Intezer warnen davor, dass so die Kampagne besser getarnt werden soll, da die gemietete Malware auch bei anderen kriminellen Aktivitäten zum Einsatz kommt. Das wiederum könnte ein Hinweis darauf sein, dass es sich bei den vorliegenden Fällen um die erste Stufe einer größeren Kampagne handelt.

Anzeige
WatchGuard_Banner_0922

Attacke auf Öl, Gas und Energie-Unternehmen

Verschickt wurden die E-Mails an internationale Unternehmen, die in den Bereichen Öl, Gas und Energie sowie in der Fertigung und der Technologieentwicklung tätig sind. Unter ihnen befinden sich Opfer in den USA, den Vereinigten Arabischen Emiraten, Deutschland und Südkorea. Über die Hintermänner der Angriffe ist derzeit noch nichts bekannt.

Teile der genutzten Infrastruktur konnten mittlerweile entfernt oder ausgeschaltet werden, doch es ist nicht unwahrscheinlich, dass die Kampagne weiterhin aktiv ist. Unternehmen sollten daher extrem vorsichtig sein, wenn es um eingehende E-Mails geht. Besonders von Anhängen und Links geht eine nicht zu unterschätzende Gefahr aus, selbst wenn der Absender und die E-Mail selbst legitim erscheinen.

Mehr bei 8.com

 


Über 8com

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.


 

Passende Artikel zum Thema

Schwachstelle in Netgear-Router lässt externen Zugriff zu

Tenable hat eine Schwachstelle in einem neuen NETGEAR-Router entdeckt. Der beliebte WiFi 6-Router ist bekannt für seine große Flächenabdeckung und ➡ Weiterlesen

Mitarbeiter: 90 Prozent brauchen Basisschulung in Cybersicherheit

89 Prozent der Mitarbeiter in Unternehmen benötigen Cybersicherheitsschulungen. Etwa jeder Dritte Mitarbeiter kann dabei nicht ausreichend Wissen zum Umgang mit ➡ Weiterlesen

Cyber-Attacken gegen ausländische Regierung

Forscher von Avanan, berichten über Angriffe auf den karibischen Inselstaat Föderation St. Kitts und Nevis und erklären, wie Hacker dort ➡ Weiterlesen

CryWiper: Ransomware zerstört in Wirklichkeit die Daten

Die Experten von Kaspersky haben eine neue Ransomware entdeckt: CryWiper. Sie agiert zu Beginn wie eine Verschlüsselungs-Software. Aber die Daten ➡ Weiterlesen

MacOS Monterey: Endpoint-Schutz-Lösungen im Test

AV-TEST hat im September & Oktober 2022 im Labor 6 Endpoint-Schutz-Lösungen für Unternehmen unter MacOS Monterey geprüft. Zusätzlich wurden 7 ➡ Weiterlesen

Kennen Angestellte die IT-Notfallpläne im Unternehmen?

G DATA Studie zeigt: Große Unternehmen sind besser auf IT-Notfälle vorbereitet als kleine Firmen. Das belegt die aktuelle Studie „Cybersicherheit ➡ Weiterlesen

Zahl der von Datenlecks betroffenen Unternehmen bleibt hoch

Laut einer Analyse des Dark Web Monitors ist die Zahl von Datenlecks betroffener Unternehmen weiterhin sehr hoch. Allerdings sind durch ➡ Weiterlesen

LastPass: Erneuter Hack beim Online-Passwort-Manager 

Bereits im August musste Lastpass ein Datenleck vermelden. Nun gab es einen erneuten, erfolgreichen Hack, wobei Quellcode und technische Informationen ➡ Weiterlesen