cnt
Komplexer Cyberangriff auf Schweizer Unternehmen begann mit einem simplen Anruf

Komplexer Cyberangriff auf Schweizer Unternehmen begann mit einem simplen Anruf

IT-Security-Anbieter Sophos rekonstruiert, wie ein Schweizer Unternehmen Opfer eines ausgeklügelten Cyberangriffs aus Kompromittierungs- und Social-Engineering-Methoden wurde.
18. August 2023

     

Sophos beschreibt eine komplexe neue Angriffstaktik, die Telefon- und E-Mail-Kommunikation verknüpft, um die Kontrolle über Unternehmensnetzwerke zu übernehmen und Daten abzuführen. Opfer wurde laut dem IT-Security-Anbieter ein nicht genanntes Schweizer Unternehmen. Die Malware lieferten die Kriminellen dabei auf äusserst ungewöhnliche Weise: ein Anrufer überzeugte das Angriffsziel via Telefon, eine E-Mail-Nachricht zu öffnen, die keinen Text enthielt, sondern als Grafik gestaltet war, um einer Outlook-E-Mail-Nachricht zu ähneln. So wurde letztlich der Download einer verlinkten bösartigen Electron-App ausgelöst.


Der Anrufer erklärte dem Mitarbeiter laut Sophos, er sei ein Lieferfahrer mit einem dringenden Paket für einen der Standorte, aber niemand sei dort, um das Paket in Empfang zu nehmen. Er bat daher um eine neue Lieferadresse am Standort des Mitarbeiters. Um das Paket erneut zustellen zu können, müsse der Mitarbeiter ihm jedoch einen Code vorlesen, den die Versandfirma per E-Mail senden würde. Noch während der Anrufer am Telefon mit dem Mitarbeiter sprach, erhielt dieser die angekündigte E-Mail-Nachricht. Diese besagte wiederum, dass eine angehängte PDF-Datei den erforderlichen Code enthielt – löste jedoch in Wirklichkeit die anschliessende Angriffskette aus. Denn sowohl der Anhang als auch die Textnachricht waren nur statische Bilder. Unter Anleitung des Betrügers am Telefon klickte der Mitarbeiter auf das Bild, was zum Download der Malware führte.
Die Analysten des IT-Security-Anbieters konnten zudem nachvollziehen, dass die Angreifer den Anrufempfänger möglicherweise persönlich ins Visier genommen hatten und so eine aufwändige Social-Engineering-Angriffskette erstellten. Diese führte letztlich dazu, dass sie kurzzeitig die Kontrolle über den Computer des Mitarbeiters übernahmen, bevor dieser eingriff. Er zog alarmiert den Ethernet-Stecker aus dem kompromittierten Computer. Jedoch nicht mehr rechtzeitig, bevor die schädliche Nutzlast aktiv war. "Dieser Angriff war äusserst gezielt. An diesem Freitag war nur eine Person im Büro, und die Angreifer kannten wahrscheinlich die Identität dieser Person. Die Verwendung eines Bildes, das sich als E-Mail tarnt, ist ebenfalls etwas, das wir bisher nicht gesehen haben", erklärt Andrew Brandt, Principal Researcher bei Sophos. Dieses Vorgehen sei clever gewesen. "Das Anhängen eines tatsächlichen PDF löst oft Alarm auf Systemen aus, da sie häufig zur Verbreitung von Malware verwendet werden, und E-Mails mit PDFs landen oft in Spam-Filtern."

Nach dem Eindringen in das Netzwerk nutzten die Kriminellen die Malware, um nach einer Vielzahl von Informationen zu suchen, einschliesslich Buchhaltungssoftware-Daten, Cookies, Browsing-Verlauf sowie Passwörtern und Kryptowährungs-Wallets. Der Mitarbeiter verhinderte jedoch schlimmere Folgen für sein Unternehmen durch das Ziehen des Steckers.


Nach dem Angriff auf das Unternehmen entdeckte Sophos einen weiteren Fall mit demselben Vorgehen gegen ein Unternehmen in Australien. Die dahinterstehende Gruppe steht noch nicht fest. Der Anbieter warnt jedoch davor, dass sie sehr wahrscheinlich nach wie vor aktiv sei. (sta)


Weitere Artikel zum Thema

Hacker kapern massenweise Linkedin-Konten

17. August 2023 - Security-Experten berichten von einer Angriffswelle auf Linkedin. Die Hacker übernehmen Konten und löschen diese teils komplett, falls die Betroffenen das geforderte Lösegeld nicht zahlen wollen.

Microsoft warnt vor Social Engineering-Angriffen über Teams

4. August 2023 - Laut Microsoft greifen kriminelle Hacker aktuell kleine Unternehmen an, indem sie sich als Microsoft-Support ausgeben und Phishing-Nachrichten via Teams versenden, um an Anmeldeinformationen zu gelangen.

Qualität der DDoS-Attacken steigt rasant

24. Juli 2023 - Nicht nur die schiere Anzahl von DDoS-Angriffen nimmt zu. Auch die Raffinesse der Hackergruppen, die für grosse Kampagnen zum Teil zusammenarbeiten, erreicht laut Cloudflare ein erschreckendes Niveau.

Moveit-Attacke betrifft auch Schweizer Unternehmen

24. Juli 2023 - Weltweit sind 421 Organisationen von Ransomware-Angriffen durch die Gruppe Cl0p auf Basis von zwei Schwachstellen in der Moveit-Software von Progress betroffen, darunter vier Unternehmen aus der Schweiz

Kommentare
Witzig
Samstag, 19. August 2023, Rotkäppchen



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER