TA4557, besser bekannt als Venom Spider, nutzt verstärkt Phishing aus und versucht seine Backdoor-Malware zu platzieren. Besonders im Fokus der Angriffe: Personalabteilungen und Recruiter sind das Ziel die oft verzweifelt Personal suchen.
Im Rahmen der fortlaufenden Beobachtung des Bedrohungsakteurs TA4557 (auch bekannt als Venom Spider) hat das Threat-Research-Team von Arctic Wolf eine neue Kampagne entdeckt, die auf Personalabteilungen und Recruiter in Unternehmen abzielt. Die Bedrohungsgruppe setzt Phishing-Techniken ein, um eine erweiterte Version einer leistungsstarken Backdoor namens More_eggs auf den Geräten der Opfer zu platzieren.
Neue Gruppe im Fokus: Personalabteilungen
Bisher richteten sich die Cyberangriffe der Gruppe vor allem gegen Branchen, die Online-Zahlungsportale oder E-Commerce-Plattformen nutzen – darunter der Einzelhandel, die Unterhaltungsbranche und Apotheken. Die aktuelle Kampagne stellt eine taktische Weiterentwicklung dar: Sie zielt nun auf nahezu jede Branche und Organisation ab – da alle eines gemeinsam haben: den Bedarf an neuen Mitarbeitenden.
Wichtige Erkenntnisse über TA4557 – Venom Spider
- Die Experten beobachteten kürzlich eine Kampagne der finanziell motivierten Bedrohungsgruppe Venom Spider, die gezielt Personalverantwortliche mit Spear-Phishing-Mails attackiert.
- Die Gruppe missbraucht legitime Messaging-Dienste und Jobplattformen, um sich mit gefälschten, schadhaften Lebensläufen auf reale Stellenangebote zu bewerben. Diese Lebensläufe schleusen eine Backdoor namens More_eggs ein.
- Die Backdoor kann für eine Vielzahl schädlicher Aktivitäten genutzt werden – von der Erbeutung von Zugangsdaten bis hin zum Diebstahl von sensiblen Zahlungsinformationen von Kunden, geistigem Eigentum oder Geschäftsgeheimnissen.
- Eine Analyse ergab mehrere Upgrades, die der Angreifer an dieser Schadsoftware vorgenommen hat, um Opfer effektiver zu infizieren und automatisierte Analysetechniken wie Sandboxing zu umgehen.
- Organisationen sollten alle Mitarbeitenden darin schulen, die Warnzeichen eines Phishing-Angriffs zu erkennen – insbesondere jene in Abteilungen, die regelmäßig E-Mail-Anhänge im Rahmen ihrer täglichen Arbeit öffnen müssen.
Über Arctic Wolf Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.