[English]Sicherheitspezialisten von Check Point Software Technologies sind auf eine ein Jahre lang laufende und gezielte Cyber-Angriffskampagne gestoßen, die auf deutsche Autohäuser und Autohersteller als Deckmantel abstellt. Ziel der Attacken war es, verschiedene Arten von Malware zum Diebstahl von Informationen einzusetzen. Die Akteure hinter der Aktion registrierten zunächst mehrere ähnlich aussehende Domains, die allesamt existierende deutsche Autohäuser imitierten. Die Domains wurden später zum Versenden von Phishing-E-Mails und zum Hosten der Malware-Infrastruktur verwendet. Check Point verfolgte die Malware zurück und stieß dabei auf eine iranische Website, die als Hosting-Site verwendet wurde und nicht von einer Regierung betrieben wird.
Anzeige
Die Angreifer richteten zuerst Mailserver mit eigenen Domänen ein und nutzten diese für den Versand von E-Mails. Diese sollten Aufmerksamkeit erregen, indem sie auf verschiedene Autoangebote hinwiesen. Den E-Mails fügten sie Dokumente wie Verträge und Quittungen bei, die sich auf die angeblichen Geschäfte bezogen. Diese HTA-„Dokumente" wurden in ISO/IMG-Dateien archiviert. Sobald sie angezeigt wurden, luden die Bedrohungsakteure Malware herunter und führten sie auf dem Computer der Zielpersonen aus, um Informationen zu stehlen.
Die Identität der Drahtzieher hinter dem Angriff ist in diesem Fall nicht klar. Check Point Research fand gewisse Verbindungen zu iranischen nichtstaatlichen Organisationen. Aber es ist unklar, ob es sich um legitime Websites handelte, die kompromittiert wurden, oder ob es eine tiefere Verbindung zu dieser Operation gibt.
Beispiel einer bösartigen E-Mail:
Eine E-Mail, die von kontakt@autohous-lips[.]de empfangen wird, gibt sich als ein bestehendes Unternehmen mit dem tatsächlichen Domainnamen autohaus-lips[.]de aus. Für einen Nicht-Deutschsprachigen ist es keine leichte Aufgabe, eine überzeugende E-Mail, einen Vertrag oder eine Quittung zu formulieren, die für einen Muttersprachler authentisch erscheint. Viele Angriffe sind bereits in diesem Stadium erkennbar und scheitern an der "Social Engineering"-Hürde.
Fake Autohaus-Seite
Anzeige
"Wir haben einen gezielten Angriff auf deutsche Unternehmen, hauptsächlich Autohändler, entdeckt. Die Angreifer nutzen eine umfangreiche Infrastruktur, die darauf ausgelegt ist, bestehende deutsche Unternehmen zu imitieren.", stellt Yoav Pinkas, Sicherheitsforscher bei Check Point Software, fest. "Die Angreifer verwenden Phishing-E-Mails mit einer Kombination von ISO\HTA-Nutzdaten, die Opfer mit verschiedenen Malware-Programmen infizieren und Informationen stehlen, wenn sie geöffnet werden. Schlüssige Beweise für die Motivation der Angreifer haben wir nicht, wir glauben aber, dass es um mehr als nur um das Abgreifen von Kreditkartendaten oder persönlichen Informationen ging. Die Ziele wurden sorgfältig ausgewählt, und die Art und Weise, wie die Phishing-E-Mails versendet wurden, ermöglichte eine Korrespondenz zwischen den Opfern und den Angreifern. Eine Möglichkeit ist, dass die Angreifer versuchten, Autohäuser zu kompromittieren und deren Infrastruktur und Daten zu nutzen, um Zugang zu sekundären Zielen wie größeren Lieferanten und Herstellern zu erhalten. Das wäre nützlich für BEC-Betrug (Business, E-Mail, Compromise) oder Industriespionage."
Die Identifikation gelang den Experten dabei unter anderem durch die Analyse der Gestaltung und der Wortwahl im Mailverkehr: "Das Social Engineering erregte unsere Aufmerksamkeit, z. B. wie die Bedrohungsakteure die Unternehmen auswählten, als die sie sich ausgaben, und auch die Formulierung der E-Mails und der angehängten Dokumente. Bei dieser Art von Angriffen geht es vor allem darum, den Empfänger von der Echtheit des Köders zu überzeugen. Der gleichzeitige Zugang zu mehreren Opfern verschafft dem Angreifer einen erheblichen Vorteil. Wenn zum Beispiel zwei Ihrer Subunternehmer unabhängig voneinander über ein bereits bekanntes Thema oder ein Gespräch berichten, das die Zielpersonen mit ihnen geführt haben, verleiht das ihrem Ersuchen eine viel größere Glaubwürdigkeit." Alle Einzelheiten zur Info-Stealer Kampagne hat Check Point in diesem Blog-Beitrag veröffentlicht.
Anzeige