Cyberkriminelle nehmen IT-Sicherheitsforscher ins Visier
Nordkoreanische Cyberkriminelle wollen IT-Sicherheitsexperten in die Falle locken. Die Angreifer geben sich als Forscher aus, um Vertrauen zu erwecken. Google kam der Masche auf die Schliche.
Kriminelle Hacker haben es auf IT-Sicherheitsexperten abgesehen. Eine Welle von Cyberangriffen richtet sich derzeit gezielt auf Forscherinnen und Forscher, die für verschiedene Organisationen und Unternehmen nach Sicherheitslücken suchen und diese analysieren. Dies berichtet Googles Threat Analysis Group in einem Blogbeitrag. Hinter den Angriffen steht angeblich eine Gruppe von Cyberkriminellen, die vom nordkoreanischen Regime unterstützt wird.
Die Angreifer nutzen gemäss Google ausgeklügelte Social-Engineering-Methoden. Sie erstellten einen vermeintlichen Cybersecurity-Blog und publizierten dort Berichte, Analysen von öffentlich bekannt gewordenen Sicherheitslücken und Gastbeiträge von renommierten Sicherheitsexperten.
Ein Beitrag auf dem vermeintlichen Cybersecurity-Blog. (Source: google/threat-analysis-group)
Zudem legten die Angreifer mehrere Twitter-Profile an. Über diese treten sie mit ihren potenziellen Opfern in Kontakt und publizieren beispielsweise Exploit-Versuche.
Einige der gefälschten Twitter-Profile der Angreifer. (Source: google/threat-analysis-group)
Zumindest einige der Videos, welche die Cyberkriminellen via Twitter oder Youtube verbreiten, sind gemäss Google gefälscht.
Über Social Media verbreiten die Angreifer mitunter gefälschte Videos. (Source: google/threat-analysis-group)
Ein Visual-Studio-Projekt als Köder
Nach der Kontaktaufnahme laden die Angreifer die potenziellen Opfer dazu ein, gemeinsam an einem Visual-Studio-Projekt zu arbeiten. Die Projektdatei enthält allerdings eine DLL mit verstecktem Schadcode, der in Visual Studio automatisch ausgeführt wird und eine Verbindung zwischen dem Betriebssystem des Opfers und den Befehls- und Kontrollservern der Angreifer herstellt.
Abgesehen von solchen gezielten Social-Engineering-Kampagnen beobachteten die Google-Forscher auch breitflächige Angriffsversuche. Einige Nutzerinnen und Nutzer hätten sich beim Besuch des gefälschten Blogs Malware eingefangen, wobei sie gemäss Google aktualisierte, gepatchte Windows-10-Systeme und aktuelle Versionen des Chrome-Browsers nutzten. "Derzeit können wir den Mechanismus der Kompromittierung noch nicht bestätigen – wir freuen uns über jegliche Hinweise", schreibt Adam Weidemann von Googles Threat Analysis Group im Blogbeitrag.
Der US-amerikanische Cybersecurity-Anbieter Tenable warnte kürzlich vor einer Schwachstelle im SAP Solution Manager. Kriminelle Hacker suchen zurzeit aktiv nach anfälligen Systemen – obwohl sich das Problem schon seit März per Patch beheben liesse.
Zertifizierungsschema der ZHAW ermöglicht Risikoprüfungen von KI-Systemen
Update: Oracle bestreitet einen mutmasslichen Datendiebstahl – und warnt vor einem anderen
Glitzer-Büsi schlägt Glitzer-Vampir
BACS warnt Reisende nach Grossbritannien vor Betrug mit ETA-Anträgen
Check Point bestätigt und relativiert Datendiebstahl
Arctic Wolf tourt mit neuen Features durch die Schweiz
WatchGuard und BOLL: Jahrzehntelange Zusammenarbeit mit Zukunft
Was die Schweizer IT-Bedrohungslandschaft im März geprägt hat
Wie man Upselling am POS nicht machen sollte
