Forscher entdecken langfristige Cyber-Spionage-Kapazität

Sicherheitsforscher haben kürzlich Informationen über eine langfristige Cyber-Spionage-Kampagne veröffentlicht, die auf Unternehmen der Kraftstoffindustrie auf der ganzen Welt abzielt. Die Kampagne konzentrierte sich auf die langfristige Vermeidung von Entdeckungen und das Einpflanzen von Remote-Access-Trojanern in die Opfernetzwerke mit dem Ziel, Daten dauerhaft zu exfiltrieren und auszuspähen.

Forscher des Sicherheitsunternehmens Intezer haben ergeben, dass böswillige Akteure gezielte Spear-Phishing-E-Mail-Kampagnen eingesetzt haben, die Trojaner-Nutzlasten für den Fernzugriff als bösartige Anhänge enthalten. Das Spektrum der in der Kampagne verwendeten RAT-Malware war sehr unterschiedlich und umfasste berüchtigte Namen wie Agent Tesla, Loki und AZORult. Diese Tools können sowohl sensible Informationen als auch Browser-Logins stehlen, aber auch Tastenanschläge protokollieren.

Die Kampagne konzentriert sich fast ausschließlich auf Öl- und Gasunternehmen, aber es gibt einige gezielte Ausreißer aus dem IT- und Mediensektor. Seltsamerweise befinden sich die meisten der anvisierten Unternehmen in Südkorea, weitere Ziele befinden sich auf der ganzen Welt, darunter Europa und die USA sowie die Vereinigten Arabischen Emirate.

Die Forscher stellten auch fest, dass sich eines der Ziele der bösartigen Kampagne deutlich von den anderen unterschied. Der Seltsame heißt FEBC und ist ein in Südkorea ansässiger Radiosender, der laut den Forschern von Intezer versucht, das "Religionsverbot" im nördlichen Nachbarn des Landes zu untergraben.

Die Spear-Phishing-E-Mails verwenden gefälschte Absenderfelder und sehen so aus, als stammten sie tatsächlich von Adressen und Unternehmen, die den Opfern wohlbekannt wären. Einige der E-Mails verwendeten typosquatted Domains - eine Domain, die ein einzelnes Zeichen hat, das sich vom legitimen unterscheidet, zum Beispiel ein durch einen Bindestrich ersetzter Punkt oder ein durch eine 1 ersetztes "L".

Der Körper der bösartigen E-Mails enthält normalerweise etwas, das wie ein legitimes Geschäftsangebot aussieht. Die Nutzlasten sind in gefälschten PDF-Dateien enthalten, die in Wirklichkeit .cab-Archive oder .iso-Bilder sind. Intezer wies auch darauf hin, dass die Nutzlast mit dateilosen Techniken bereitgestellt wird, die direkt im Systemspeicher bereitgestellt wird, ohne dass Dateien auf der Festplatte verbleiben, die potenzielle Abwehrmaßnahmen beeinträchtigen könnten.

Intezer wies auch darauf hin, dass die E-Mails hinsichtlich der Formatierung besonders gut gemacht wurden und sehr darauf geachtet wurde, dass sie wie legitime Geschäftskorrespondenz aussehen. Es gibt viele kleine Details im Text dieser E-Mails, die darauf hindeuten, dass der Bedrohungsakteur dahinter kein Amateur ist und sehr gut versteht, wie legitime, hochkarätige Geschäftskorrespondenz aussieht.