RevengeRAT und AysncRAT zielen auf die Luft- und Raumfahrt und den Reisesektor

Cyber Security News

American Airlines-Flug 718, eine Boeing 737 Max, steht am 29. Dezember 2020 in Miami, Florida, an seinem Gate am Miami International Airport, während die Passagiere für einen Flug nach New York einsteigen. Eine Kampagne von Remote-Access-Trojanern hat es auf die Luftfahrt- und Reisebranche abgesehen. (Foto: Joe Raedle/Getty Images)

Microsoft Security Intelligence hat Anfang dieser Woche getwittert, dass sie eine Kampagne von Remote-Access-Trojanern (RATs) verfolgen, die auf die Luft- und Raumfahrt- sowie die Reisebranche abzielen. Dabei handelt es sich um Spear-Phishing-E-Mails, die einen aktiv entwickelten Loader verteilen, der dann RevengeRAT oder AysncRAT liefert.

Im Rahmen des Tweet-Austauschs wurde darauf hingewiesen, dass die Angreifer die RATs für Datendiebstahl, Folgeaktivitäten und zusätzliche Payloads verwenden, darunter Agent Tesla, den sie zur Datenexfiltration einsetzen. Der Lader befindet sich in aktiver Entwicklung und wird von Morphisec als Snip3 bezeichnet.

Diese Kampagnen kommen nicht überraschend, vor allem, da wir den Lockdown verlassen und die Menschen wieder reisen, was die Reisebranche zu einem hochlukrativen Ziel macht, sagte Chris Morales, Chief Information Security Officer bei Netenrich.

“Das Niveau des Targetings ist auch ein Grund, warum es so schwer ist, Angriffe zu erkennen”, sagte Morales. “Sie ändern sich und sind maßgeschneidert. SecOps müssen sich auf Bedrohungen einstellen, die speziell auf ihre Organisationen abzielen, und nicht nach generischen Bedrohungen suchen.”

Dirk Schrader, Global Vice President, Security Research, bei New Net Technologies, sagte, dass er sektororientierte Spear-Phishing-Kampagnen erwartet, wenn die Pandemie überstanden ist.

“Die Verwendung einer vertrauten Sprache und Terminologie kann bei der Effektivität einer gezielten Kampagne helfen”, sagte Schrader. “Es ist nicht schockierend, dass Angreifer den Transportsektor ins Visier nehmen, da dieser Sektor gerade wieder zum Leben erwacht. Daher ist eine gut durchdachte Kampagne, die diese Situation anspricht, umso besser.”

Roger Grimes, Data Driven Defense Evangelist bei KnowBe4, fügte hinzu, dass die Angreifer, wenn sie in ein Unternehmen der Branche einbrechen, deren E-Mails lesen und den neu kompromittierten Ort als “Cyberhaven” nutzen können, um ihre Partner anzugreifen.

“Die E-Mails kommen von Personen und E-Mail-Adressen, denen die neuen Opfer vertrauen, und verwenden E-Mail-Betreffs, an denen sie teilgenommen haben”, sagte Grimes. “Wenn also die Aufforderung, auf einen Link zu klicken oder ein Dokument zu öffnen, unerwartet kommt, ist die Wahrscheinlichkeit, dass das neue Opfer auf den Betrug hereinfällt, viel höher. Deshalb müssen alle Mitarbeiter lernen, dass Phishing-E-Mails von Personen kommen können, die sie kennen und denen sie vertrauen, und dass es nicht ausreicht, sich einfach auf eine E-Mail-Adresse zu verlassen, unabhängig davon, ob sie diese erkennen oder nicht.”

Grimes sagte, dass Sicherheitsschulungen den Benutzern beibringen sollten, sich vor E-Mails mit den folgenden Merkmalen zu hüten: E-Mails, die unerwartet eintreffen. Eine E-Mail, die Benutzer auffordert, etwas ganz Neues zu tun, um das der Absender sie noch nie zuvor gebeten hat. Die Aktion könnte ihrem eigenen Interesse oder dem ihrer Organisation schaden.

“Wenn zwei dieser Merkmale vorhanden sind, sollte der Empfänger langsamer werden, innehalten, nachdenken und die Anfrage auf andere Weise überprüfen, z. B. indem er die Person unter einer vorher festgelegten Telefonnummer anruft”, so Grimes.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com