SolarWinds-Hacker gehen zum Phishing

Cyber Security News

Das amerikanische multinationale Technologieunternehmen Microsoft sagt, dass die Bedrohungsgruppe, die hinter dem Microsoft- und SolarWinds-Hack steckt, eine massive neue Phishing-Kampagne gestartet hat, die auf Regierungsbehörden, NGOs und Think Tanks abzielt.

Im vergangenen Jahr nutzte eine APT-Gruppe (Advanced Persistent Threat) Schwachstellen in Microsoft- und SolarWinds-Programmen aus, um einen Supply-Chain-Angriff durchzuführen, bei dem SolarWinds’ Orion-Business-Software-Updates trojanisiert wurden, um Malware zu verteilen. Neun US-Bundesbehörden und über 100 Unternehmen waren das Ziel.

Laut Microsoft steckte die in Russland ansässige APT-Gruppe Nobelium nicht nur hinter diesem Angriff, sondern führt jetzt auch eine Phishing-Kampagne durch, die bereits Tausende von E-Mail-Konten auf der ganzen Welt angegriffen hat.

“Diese Woche haben wir Cyber-Attacken des Bedrohungsakteurs Nobelium beobachtet, die auf Regierungsbehörden, Denkfabriken, Berater und Nichtregierungsorganisationen abzielen”, schrieb Microsofts Vice President of Customer Security and Trust, Tom Burt, in einem am Donnerstag veröffentlichten Blogpost.

“Diese Angriffswelle zielte auf etwa 3.000 E-Mail-Konten bei mehr als 150 verschiedenen Organisationen ab.”

Burt sagte, dass Organisationen in mindestens 24 verschiedenen Ländern betroffen waren, wobei sich die meisten Opfer in den Vereinigten Staaten befanden.

Mindestens eine von vier der betroffenen Organisationen sind in der internationalen Entwicklungs-, humanitären und Menschenrechtsarbeit tätig.

“Diese Angriffe scheinen eine Fortsetzung der mehrfachen Bemühungen von Nobelium zu sein, Regierungsstellen, die in die Außenpolitik involviert sind, als Teil von nachrichtendienstlichen Bemühungen ins Visier zu nehmen”, schrieb Burt.

Nobelium startete die Phishing-Kampagne, indem es sich Zugang zum Constant Contact-Konto von USAID verschaffte.

“Von dort aus war der Akteur in der Lage, Phishing-E-Mails zu verbreiten, die authentisch aussahen, aber einen Link enthielten, der, wenn er angeklickt wurde, eine bösartige Datei einfügte, mit der eine Backdoor verbreitet wurde, die wir NativeZone nennen”, schrieb Burt.

“Diese Backdoor konnte eine Vielzahl von Aktivitäten ermöglichen, vom Datendiebstahl bis zur Infizierung anderer Computer in einem Netzwerk.”

Digital Shadows Bedrohungsforscher Stefano De Blasi sagte, dass die angebliche bösartige Aktivität von Nobelium ein Beispiel dafür sei, dass gezielte Phishing-Kampagnen immer noch eine ernsthafte Bedrohung für Institutionen jeglicher Art darstellen.

Er fügte hinzu: “Diese Kampagne ist der jüngste Beweis für das Ziel dieser Gruppe, sensible und sehr wertvolle Informationen von westlichen Organisationen zu sammeln, die im Bereich Regierung und Außenbeziehungen tätig sind.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com