Öl und Gas im Visier einer jahrelangen Cyber-Spionage-Kampagne

  • Ein globaler Versuch, Informationen von Energieunternehmen zu stehlen, nutzt ausgeklügeltes Social Engineering, um Agent Tesla und andere RATs einzuschleusen.

    Eine ausgeklügelte Kampagne, die auf große internationale Unternehmen im Öl- und Gassektor abzielt, ist laut Forschern seit mehr als einem Jahr im Gange und verbreitet gängige Remote-Access-Trojaner (RATs) für Cyber-Spionagezwecke.

    Laut einer Analyse von Intezer werden Spear-Phishing-E-Mails mit bösartigen Anhängen verwendet, um verschiedene RATs auf infizierten Rechnern abzulegen, darunter Agent Tesla, AZORult, Formbook, Loki und Snake Keylogger, die alle darauf aus sind, sensible Daten, Bank- und Browser-Informationen zu stehlen und Tastaturanschläge zu protokollieren.

    Während Energieunternehmen die Hauptziele sind, hat die Kampagne auch eine Handvoll Organisationen im IT-, Produktions- und Mediensektor ins Visier genommen, so die Forscher. Opfer wurden auf der ganzen Welt gefunden, einschließlich in Deutschland, den Vereinigten Arabischen Emiraten (VAE) und den Vereinigten Staaten, aber die primären Ziele sind südkoreanische Unternehmen.

    “Der Angriff zielt auch auf Öl- und Gaslieferanten ab, was möglicherweise darauf hindeutet, dass dies nur die erste Stufe einer breiteren Kampagne ist”, so die Forscher in einem Posting vom Mittwoch. “Im Falle eines erfolgreichen Einbruchs könnte der Angreifer das kompromittierte E-Mail-Konto des Empfängers verwenden, um Spear-Phishing-E-Mails an Unternehmen zu senden, die mit dem Zulieferer zusammenarbeiten, und so den etablierten Ruf des Zulieferers nutzen, um weitere Zielunternehmen anzugreifen.”

    Eines der anvisierten Unternehmen unterscheidet sich “drastisch” von den anderen, bemerkten die Forscher, was einen Hinweis auf die Art der Cyberangreifer geben könnte.

    “Das Unternehmen ist FEBC, ein religiöser koreanischer christlicher Radiosender, der andere Länder außerhalb Südkoreas erreicht, viele dieser Länder, die Religion herunterspielen oder verbieten”, so Intezer. “Eines der Ziele von FEBC ist es, das Religionsverbot in Nordkorea zu unterlaufen.”

    Der Spear-Phishing-Angriffsvektor

    Um den Angriff zu starten, senden die Angreifer E-Mails, die auf die Mitarbeiter der jeweiligen Zielfirma zugeschnitten sind, so die Forscher. Die Empfänger-E-Mail-Adressen reichen von generischen Adressen (info@target_company[.]com, sales@target_company[.]com) an bestimmte Personen innerhalb von Unternehmen, was auf einen unterschiedlichen Grad an Aufklärungsarbeit bei den Zielen schließen lässt.

    Um den Anschein von Legitimität zu erwecken, sind die im “Von”-Feld verwendeten E-Mail-Adressen typosquatted oder gefälscht und sollen wie E-Mails von tatsächlichen Unternehmen aussehen, die den Zielpersonen bekannt sind.

    Beim Typosquatting wird ein Domain-Name registriert, der eine legitime Domain nachahmt, mit einer kleinen Abweichung, wie z. B. dem Einfügen eines Bindestrichs oder dem Austauschen eines Buchstabens. Das Vertauschen eines kleinen “L” mit einem großen “I” ist zum Beispiel eine bekannte Taktik. Viele der E-Mail-Adressen in dieser speziellen Kampagne verwendeten das Format “sender@company-co.kr” anstelle von sender@company.co.kr, so die Forscher – ein verräterischer Unterschied, der leicht zu übersehen ist, wenn man nur überfliegt.

    “Inhalt und Absender der E-Mails werden so gestaltet, als kämen sie von einem anderen Unternehmen der betreffenden Branche, das eine Geschäftspartnerschaft oder -möglichkeit anbietet”, so Intezer. “Die E-Mails sind so formatiert, dass sie wie eine gültige Korrespondenz zwischen zwei Unternehmen aussehen.”

    Andere Bemühungen, den Anschein der Legitimität zu erwecken, umfassen Verweise auf Führungskräfte und die Verwendung von physischen Adressen, Logos und E-Mails von legitimen Unternehmen im Text der E-Mails. Sie enthalten auch Anfragen für Angebote (RFQ), Verträge und Verweise/Ausschreibungen für echte Projekte, die mit dem Geschäft des anvisierten Unternehmens zusammenhängen, so das Posting.

    Malware getarnt in gefälschten PDF-Anhängen

    Laut Intezer enthält jede E-Mail einen bösartigen Anhang mit einem scheinbar ergänzenden Namen, der sich auf den Inhalt des E-Mail-Textes bezieht. In Wirklichkeit enthält er .NET-Malware, in der Regel eine .IMG-, .ISO- oder .CAB-Datei. Dies sind alles Dateitypen, die von Angreifern häufig verwendet werden, um die Erkennung durch E-Mail-basierte Antiviren-Scanner zu umgehen, so die Forscher: IMG/ISO-Dateien sind Teil des Universal Disk Format (UDF), bei dem es sich um Disk-Images handelt, die üblicherweise für DVDs verwendet werden, während Cabinet-Dateien (.CAB) eine Art von Archivdateien sind.

    Die Dateien sind jedoch als PDFs getarnt und verwenden gefälschte Dateierweiterungen und Symbole, um weniger verdächtig auszusehen. Sobald der Benutzer auf die Datei doppelklickt, wird der Inhalt der Datei gemountet, und der Benutzer kann auf die Datei klicken, um sie auszuführen.

    Intezer merkte außerdem an, dass die Ausführung der Malware zur Umgehung der Erkennung durch Standard-Antivirenprogramme dateilos erfolgt, was bedeutet, dass sie in den Speicher geladen wird, ohne eine Datei auf der Festplatte zu erstellen.

    Eine Social-Engineering-Bonanza

    Während die technischen Aspekte der Kampagne eher routinemäßig ablaufen, glänzen die Cyberangreifer vor allem mit Social Engineering und der Erledigung ihrer Hausaufgaben über ihre Ziele, so die Forscher.

    Ein Beispiel: Eine E-Mail gab vor, von Hyundai Engineering zu stammen, und bezog sich auf ein reales Projekt für ein Kombikraftwerk in Panama. Die E-Mail fordert den Empfänger auf, ein Angebot für die Lieferung von Ausrüstung für das Projekt abzugeben und bietet weitere Details und Anforderungen “in der angehängten Datei” (die die Malware enthält). In der E-Mail wird auch eine feste Frist für die Angebotsabgabe genannt.

    Ein weiteres Beispiel betraf eine typosquatted E-Mail, die angeblich von Barend Jenje von GustoMSC gesendet wurde und den Empfänger aufforderte, eine angehängte, angebliche Geheimhaltungsvereinbarung zu unterzeichnen. GustoMSC hat seinen Sitz in den Niederlanden und ist auf Offshore-Ausrüstung und -Technologie für die Öl- und Gasindustrie spezialisiert. Die E-Mail bezieht sich auf das reale Offshore-Windpark-Projekt Dunkirk, das von einem Konsortium aus mehreren Unternehmen betrieben wird, von denen zwei in der E-Mail erwähnt werden.

    Eine weitere E-Mail, die die Intezer-Forscher analysierten, wurde an einen Mitarbeiter von GS E&C geschickt, einem koreanischen Bauunternehmen, das an verschiedenen globalen Kraftwerksprojekten beteiligt ist. In der E-Mail wurde die Person aufgefordert, sowohl technische als auch kommerzielle Angebote für die im Anhang beschriebenen Artikel abzugeben, der vorgab, ein Material Take Off (MTO) Dokument zu sein.

    Sie wurde angeblich von Rashid Mahmood von der China Petroleum Engineering & Construction Corp. (CPECC) und enthielt einen Verweis auf das Erweiterungsprojekt eines Ölfelds in Abu Dhabi namens BAB, das das älteste in Betrieb befindliche Feld in den VAE ist.

    “Der Inhalt der E-Mails zeigt, dass der Bedrohungsakteur in der Business-to-Business (B2B)-Korrespondenz versiert ist”, so die Forscher. “Dieser zusätzliche Aufwand, den der Angreifer betreibt, erhöht wahrscheinlich die Glaubwürdigkeit der E-Mails und verleitet die Opfer dazu, die bösartigen Anhänge zu öffnen.”

    So gut die Angreifer auch darin sind, Glaubwürdigkeit aufzubauen, einige der E-Mails enthalten Fehler mit roten Fahnen. So ist die im obigen Beispiel angegebene Adresse zwar die tatsächliche Adresse von CPECC in den Vereinigten Arabischen Emiraten, doch steht dort “reginal headquarter” statt “regional headquarters”.

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com