Einjährige Spear-Phishing-Kampagne zielt auf die globale Energiebranche

  • Arbeitende Ölpumpen sind vor einem Sonnenuntergangshimmel zu sehen. Intezer hat eine jahrelange Spear-Phishing-Kampagne gegen Energieunternehmen aufgedeckt. (Getty Images)

    Eine unbekannte Gruppe hat ein Jahr lang eine Spear-Phishing-Kampagne gegen Energieunternehmen und andere Branchen auf der ganzen Welt durchgeführt.

    Die Kampagne läuft seit mindestens einem Jahr und zielt auf Unternehmen und Mitarbeiter in den Branchen Gas und Öl, Energie, Informationstechnologie, Medien und Elektronik auf der ganzen Welt, so eine neue Untersuchung von Intezer, wobei viele der betroffenen Unternehmen in Südkorea ansässig sind. Die Spear-Phish-E-Mails nutzen sowohl Typosquatting als auch Spoofing, um die eingehenden E-Mails so aussehen zu lassen, als kämen sie von etablierten Unternehmen. Sie verweisen auch namentlich auf Führungskräfte des Unternehmens und enthalten legitime Geschäftsadressen und Firmenlogos.

    Viele der Spear-Phishing-E-Mails zeigen, dass der Bedrohungsakteur seine Hausaufgaben gemacht zu haben scheint. Sie sind mit Fachjargon aus dem Beschaffungswesen gefüllt, verweisen auf reale laufende Projekte, an denen das imitierte Unternehmen arbeitet, und fordern die Zielperson auf, durch Klicken auf einen Anhang ein Angebot für einen Teil der Arbeit abzugeben.

    Dieser Anhang – der so gestaltet ist, dass er das Aussehen einer PDF-Datei imitiert, aber in der Regel eine IMG-, ISO- oder CAB-Datei ist – enthält Malware, die Informationen stiehlt, um Bankdaten zu stehlen, Tastenanschläge zu protokollieren und Browsing-Daten zu sammeln. Die Akteure scheinen sich nicht auf einen einzigen Malware-Typ oder eine Malware-Familie zu verlassen, sondern verwenden eine Vielzahl von Remote-Access-Tools und andere Malware-as-a-Service, wie Agent Tesla und Formbook. Wie viele erfolgreiche Phishing-Köder sind sie so konzipiert, dass sie dem Opfer einen finanziellen Anreiz bieten, auf den Link zu klicken, und ein Gefühl der Dringlichkeit vermitteln, um zu reagieren.

    “Es scheint, dass ein Teil des Anreizes darin bestand, dass die empfangende Komponente denken konnte, dass etwas Geld auf sie zukommt”, sagte Ryan Robinson, ein Sicherheitsforscher bei Intezer, in einem Interview.

    In einem Beispiel erwähnt ein gefälschtes E-Mail-Konto, das vorgibt, von Hyundai Engineering Inc. zu sein, ein reales Kraftwerksprojekt in Panama, ist mit Beschaffungsjargon gefüllt und gibt kurze Fristen für die Interessenbekundung an dem Projekt (48 Stunden ab Erhalt der E-Mail) und die Abgabe eines Angebots (29. März) an. In einer anderen bittet ein Mitarbeiter des in den Niederlanden ansässigen Offshore-Bohrunternehmens GustoMSC die Zielperson um die Unterzeichnung und Rücksendung eines Vertraulichkeitsdokuments und erwähnt einen von GustoMSC verwalteten Windpark in Dünkirchen.

    [Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/07/Screen-Shot-2021-07-08-at-4.13.45-PM-1024x879.jpg]Eine Phishing-E-Mail, in der sich ein Mitarbeiter von Hyundai Engineering ausgibt und die Zielperson auffordert, auf einen bösartigen Anhang zu klicken.

    Die Forscher sagen, dass die meisten der Unternehmen, auf die die Kampagne abzielte, südkoreanisch waren, während eine Reihe von Zielen aus anderen Ländern eine wesentliche Geschäftsverbindung zu Südkorea hatten. Ein Unternehmen, das sich von den übrigen Opfern abhebt, ist der koreanische Zweig der Far East Broadcasting Company, eines internationalen christlichen Radiosenders. FEBC ist dafür bekannt, das Evangelium und religiöse Programme über die Grenzen hinweg in Länder auszustrahlen, die die Religionsfreiheit verbieten oder einschränken, darunter auch Nordkorea.

    Robinson sagte, die E-Mails waren meist in Englisch und sind “etwas besser als der Durchschnitt” in Bezug auf ihre Präsentation, tendenziell fehlen viele der offensichtlichen Tippfehler oder Sprachfehler, die andere Kampagnen verraten, obwohl sie bemerken, dass sie einige der E-Mails nicht vollständig untersuchen konnten, da sie auf Koreanisch waren und Intezer keine koreanische Muttersprachler auf dem Personal hat. Eine andere Intezer-Forscherin, Nicole Fishbein, sagte, dass es andere Indikatoren dafür gibt, dass die Speerspitze ihre Hausaufgaben für jedes Ziel gemacht hat.

    “Ich denke, die Sprache der E-Mail, alle Begriffe, die mit dem Geschäft von Öl und Gas verbunden sind, und sogar technische Begriffe, es sieht so aus, als ob die Leute, die dahinter stehen, wirklich verstehen, worüber sie reden,” Fishbein sagte.

    Intezer macht pointiert keine Angaben zu den Akteuren oder der Gruppe hinter der Kampagne. Laut Fishbein und Robinson liegt das zum Teil daran, dass es keine eindeutigen oder etablierten Muster bei den eingesetzten Malware-Typen gibt und dass diese auch von anderen Bedrohungsakteuren verwendet werden. Robinson sagte, dass sie mit Malware versehene Bilder mit E-Mails abgleichen mussten, die das Opfer am selben Tag erhalten und geöffnet hatte, und schließlich Daten von Hunderten von E-Mails sammeln mussten, die sie eindeutig der Kampagne zuordnen konnten.

    Die Art der Malware-Stämme und die Art der gestohlenen Daten deuten darauf hin, dass die Aktivität der erste Schritt eines größeren Hacking-Projekts sein könnte.

    “Ich würde sagen, da wir sehen, dass es sich bei der ausgelieferten Malware um einen Informationsdiebstahl und nicht um Ransomware handelt, sind sie hinter Informationen her, es könnten Informationen für die nächste Stufe der Kampagne sein”, so Fishbein.

    Intezers Blog listet Indicators of Compromise für die Spear-Phishing-E-Mails und die Malware auf, die in der Kampagne verwendet wurden, und Robinson sagte, dass richtig konfigurierte E-Mail-Sicherheitsprotokolle wie DMARC und SPF auch dazu beitragen können, viele der Köder zu reduzieren oder zu eliminieren, die sich auf das Spoofing von E-Mail-Adressen verlassen.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com