E-Mail-basierte Angriffskampagne TA551 – auch deutsche Opfer

[English]Sicherheitsforscher von Palo Alto Networks warnen vor einer aktuellen E-Mail-basierten Angriffskampagne TA551, die nun auch deutsch-, italienisch- und japanisch-sprachige Opfer ins Visier nimmt. Mit Malware verseuchte E-Mail-Anhänge sind zwar ein alter Hut – ich stelle die Warnung aber mal hier ein.


Anzeige

Die Sicherheitsforscher von Palo Alto Networks, haben die jüngsten Aktivitäten von TA551 untersucht. TA551, auch bekannt als Shathak, ist eine E-Mail-basierte Malware-Angriffskampagne, die bislang auf englischsprachige Opfer abzielte. Bei den jüngsten Aktivitäten von TA551 geraten nun aber auch deutsch-, italienisch- und japanisch-sprachige Opfer ins Visier der Cyber-Kriminellen.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Email mit Malware im Anhang

Der anfängliche Köder ist eine E-Mail, die eine E-Mail-Kette vortäuscht. Diese E-Mail-Ketten werden von E-Mail-Clients auf zuvor infizierten Hosts abgerufen. Die Nachricht enthält ein angehängtes ZIP-Archiv und eine Nachricht, die den Benutzer über ein Kennwort informiert, das zum Öffnen des Anhangs erforderlich ist. Nach dem Öffnen des ZIP-Archivs findet das Opfer ein Microsoft Word-Dokument mit Makros vor. Wenn das Opfer Makros auf einem anfälligen Windows-Computer aktiviert, ruft der Host des Opfers eine Installer-DLL für IcedID-Malware ab. Dadurch wird ein anfälliger Windows-Computer infiziert.

TA551 wurde weiter entwickelt

TA551 hat sich weiterentwickelt, seitdem Palo Alto Networks die Angreifer zuletzt im Juli 2020 beobachtet hatte. TA551 hatte in der Vergangenheit verschiedene Familien von datenraubender Malware verbreitet. In den vergangenen Monaten registrierten IT-Sicherheitsprofis häufig IcedID als Folge-Malware von Valak- und Ursnif-Infektionen, die auf das Konto von TA551 gingen. Die Angreifer scheinen sich von den früher genutzten Malware-Downloadern verabschiedet zu haben und setzen nun direkt den Information Stealer IcedID ein.

Obwohl TA551 sich auf IcedID als Malware-Nutzlast festgelegt hat, beobachtet Palo Alto Networks weiterhin Veränderungen bei den Verkehrsmustern und Infektionsartefakten. Unternehmen mit angemessener Spam-Filterung, ordnungsgemäßer Systemadministration und aktuellen Windows-Hosts weisen ein wesentlich geringeres Infektionsrisiko auf.

Palo Alto Networks ist ein weltweiter Anbieter von Cybersicherheitslösungen. Weitergehende Informationen zur TA551-Kampagne finden Sie in diesem Artikel.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu E-Mail-basierte Angriffskampagne TA551 – auch deutsche Opfer

  1. Daniel sagt:

    Das Passwort für die ZIP-Datei steht also in der gleichen E-Mail gleich mit drin? Na das ist ja sehr sinnvoll und dilettantisch aber eine 2. E-Mail macht’s ja nicht besser. Wobei ich ernsthaft die Tage von einer Firma tel. gesagt bekommen habe, ich soll das Passwort im Klartext als 2. E-Mail verschicken. Ja, ist okay. Na klar. Das macht’s ja auch zu 100% sichererer … allein auf so eine Idee zu kommen; unglaublich.

    Also nichts Neues aber wohl immer noch erfolgreich.

    • Anonymous sagt:

      Obwohl wir viel mit SMIME und PGP verschlüsseln, ist das bei uns regelmäßig Kundenwunsch. Meist kombiniert mit einfachem Passwort und bloss kein AES im ZIP, weil das ja in Windows nicht aufgeht.
      Meist ist eine Wörterbuch-Attacke auf die so geschützen Zips schneller als das Eintippen.
      Da diskutiere ich schon lange nicht mehr. Wenn der Kunde das so will…..

  2. No sagt:

    Diese EMail-Angriffe mit MS-Office-Dokumenten Word/Excel sind zwar „ein alter Hut“, aber trozdem und weiter nicht nur für Normal-User recht gefährlich. Es gibt (fast) unendlich viele Information über die Server, die den eigentlichen Virus (exe-Datei) verteilen, aber selbst bei deutschen Hostern dauert es viele Tage, bis gelöscht wird.

    Jede Office-Datei mit Makro-Schadware hat einen anderen hash, also dieser Schutz, den Anti-Viren-Firmen vor Jahrzenten entwickelt haben, ist völlig wirkungslos. Auch die Blacklists schützen (nicht immer) nur, dass die Viren per Browser geladen werden können, aber nicht bei Downloads via VBA bzw Powershell.

    Dass die Sicherheits-Behören auch nach 6-10 Jahren nicht in der Lage sind, die Bevölkerung zu schützen, ist ein Armutszeugnis.

    • Blupp sagt:

      Das ist wohl kein Problem der Behörden. Es ist natürlich schön wenn die was tun und das machen sie auch. Das BSI veröffentlicht z.B. ständig Informationen für Bürger (bsi-fuer-buerger.de), ich bezweifle jedoch, dass es den Durchschnittsnutzer am PC interessiert.
      Die Tätigkeit zum Schutz der Bürger ist durchaus vorhanden, nur wird das von vielen offensichtlich nicht genutzt und dann wird rumgemeckert.
      Abgesehen davon würde es helfen, wenn mancher PC-Nutzer etwas über die Technik lernen würde. Manchmal scheint das jedoch ein Problem zu sein.

      • No sagt:

        Die User zu schulen ist wohl eher ein frommer Wunsch, aber nicht relistisch. Aber von M$ ein Update zu verlangen, dass Makro bei Dateien mit dem ZoneIdentifier „Internet“ prinzipiell geblockt werden und die Behörden/Telcos systematisch C2-Server verfolgen, ist nicht absurd.

        • Blupp sagt:

          Die Behörden verfolgen sowas, wenn sie können.
          M$, ich will die wirklich nicht in Schutz nehmen und nutze schon länger nichts mehr von M$, war schon bei mehreren Aktionen gegen Betrüger mit dabei. Sicher auch im Eigeninteresse, M$ ist ja keine Behörde die da tätig werden muss, aber ja sie könnten etwas mehr für die Sicherheit tun.
          Leider rennt man den Bösen Jungs im Netz immer hinterher, was in der Natur der Sache liegt. Was ich jedoch meinte, ist nicht einfach die User zu schulen, mir geht es um Sicherheitsbewustsein. Oft wird nur rumgemeckert, nach Behörden und Firmen gerufen. Schließt man sein Auto nicht ab hilft es auch wenig nach Behörden und Hersteller zu rufen wenn dann was passiert ist. Was nicht wenige User im Netz machen ist durchaus mehr als fahrlässig. Es wäre schon schön wenn sich möglichst viele User informieren und gute Quellen für solche Infos gibt es, absolute Sicherheit gibt es hingegen nicht. Irgendwo ist da meiner Meinung nach auch eine Pflicht zum Selbstschutz. Das man nicht alle erreicht ist klar – leider …

  3. Gast sagt:

    „Dass die Sicherheits-Behören auch nach 6-10 Jahren nicht in der Lage sind, die Bevölkerung zu schützen, ist ein Armutszeugnis.“

    Dass wir nicht vor Corona, Trump Putin usw durch durch die Behörden geschützt werden. Gehts noch. Wie wäre es mit Selbstverantwortung und einem Schuss Brain.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.