Hacker gaben sich jahrelang als Aerobic-Lehrer aus, um Mitarbeiter der Luft- und Raumfahrt ins Visier zu nehmen

  • Eine iranische Cyberspionage-Gruppe gab sich auf Facebook als Aerobic-Lehrer aus, um im Rahmen einer jahrelangen Social-Engineering- und gezielten Malware-Kampagne den Computer eines Mitarbeiters eines Rüstungsunternehmens aus der Luft- und Raumfahrt mit Malware zu infizieren.

    Die Sicherheitsfirma Proofpoint führt die verdeckte Operation auf einen staatlich organisierten Bedrohungsakteur zurück, den sie als TA456 bezeichnet, sowie auf die breitere Cybersicherheits-Community unter den Namen Tortoiseshell und Imperial Kitten.

    [Blocked Image: https://thehackernews.com/images/-Gh8_xBK-wA0/YMt1oNE4WUI/AAAAAAAA4Qw/I2QexYtbSv8qi2N3tu2MxT1hshRe7YwwwCLcBGAsYHQ/s728-e100/free-ad-8-728.png]

    “Unter der Social-Media-Persona ‘Marcella Flores’ baute TA456 über Unternehmens- und persönliche Kommunikationsplattformen eine Beziehung zu einem Mitarbeiter einer kleinen Tochtergesellschaft eines Verteidigungsunternehmens der Luft- und Raumfahrtindustrie auf”, so Proofpoint in einem Bericht, der The Hacker News vorliegt. “Anfang Juni 2021 versuchte der Bedrohungsakteur, aus dieser Beziehung Kapital zu schlagen, indem er der Zielperson Malware über eine fortlaufende E-Mail-Kommunikationskette schickte.”

    [Blocked Image: https://thehackernews.com/images/-qFDQXHWT-78/YQEgF1sJt-I/AAAAAAAADW0/XcHDH2gdXkUls-guDk6dZOQ8xhyM2o63QCLcBGAsYHQ/s0/cybersecurity.jpg]

    Anfang dieses Monats gab Facebook bekannt, dass es Schritte unternommen hat, um eine “ausgeklügelte” Cyberspionage-Kampagne zu zerschlagen, die von Tortoiseshell-Hackern durchgeführt wurde, die es auf etwa 200 Militärangehörige und Unternehmen im Verteidigungs- und Luftfahrtsektor in den USA, Großbritannien und Europa abgesehen hatten, indem sie ein umfangreiches Netzwerk von gefälschten Online-Personen auf seiner Plattform verwendeten. Es wird vermutet, dass der Bedrohungsakteur über seine Verbindung mit dem iranischen IT-Unternehmen Mahak Rayan Afraz (MRA) lose mit dem Korps der Islamischen Revolutionsgarden (IRGC) verbunden ist.

    [Blocked Image: https://thehackernews.com/images/-QpWUO_ODObE/YLy9ODqjOgI/AAAAAAAA4BU/EiQ-B1MZTpMSF3ICQ5utVTrmnYrAXONgQCLcBGAsYHQ/s300-e100/ransomware_300.jpg]

    Laut Proofpoint hat der Bedrohungsakteur TA456 eine solche ausgeklügelte Fake-Persona erstellt, die sich mit dem ungenannten Mitarbeiter aus der Luft- und Raumfahrtindustrie bis ins Jahr 2019 zurückverfolgen lässt, bevor er eine Malware namens LEMPO ausliefert, die so konzipiert ist, dass sie persistent ist, Aufklärungsarbeit leistet und sensible Informationen exfiltriert. Die Infektionskette wurde durch eine E-Mail-Nachricht ausgelöst, die eine OneDrive-URL enthielt, die vorgab, eine Ernährungsumfrage zu sein – ein in ein Makro eingebettetes Excel-Dokument -, um dann heimlich das Erkundungstool abzurufen, indem eine Verbindung zu einer vom Angreifer kontrollierten Domain hergestellt wurde.

    [Blocked Image: https://thehackernews.com/images/-euePnhCEp_c/YQEgGgNXqhI/AAAAAAAADW4/zbf632UUh08qHPu-Iq1ewg8phS9GuiljgCLcBGAsYHQ/s0/logs.jpg]

    “TA456 demonstrierte eine beträchtliche operative Investition, indem er über Jahre hinweg eine Beziehung zu einem Mitarbeiter des Zielunternehmens aufbaute, um LEMPO zur Aufklärung in einer hochgesicherten Zielumgebung innerhalb der Verteidigungsindustrie einzusetzen”, so die Forscher von Proofpoint. “Diese Kampagne ist ein Beispiel für die Hartnäckigkeit bestimmter staatlich ausgerichteter Bedrohungen und den menschlichen Einsatz, den sie zur Unterstützung von Spionageoperationen zu leisten bereit sind.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com