Spearphishing-Kampagne nimmt Energiebranche ins Visier

Eine neue Spearphishing-Kampagne versucht Energieunternehmen und ihren Zulieferern mit geschickt gefälschten E-Mails Malware unterzujubeln, mit der anschließend Zugangsdaten ausgespäht werden sollen.

(PresseBox) ( Neustadt an der Weinstraße, )
Energie-, Öl- und Gasunternehmen sowie andere Unternehmen aus benachbarten Branchen stehen derzeit im Fokus einer raffinierten Phishing-Kampagne, wie das Cybersicherheitsunternehmen Intezer berichtet. Durch die seit mindestens einem Jahr aktive Kampagne soll Malware in die Netzwerke der Unternehmen eingeschleust werden, die dann Nutzernamen, Passwörter und andere sensible Informationen ausspäht und an die kriminellen Hintermänner weiterleitet. Laut den Sicherheitsexperten von Intezer könnte es sich bei den aktuellen Fällen um die erste Phase einer größeren Kampagne handeln.

Auffällig dabei ist, dass die beschriebenen Phishing-E-Mails außergewöhnlich gut recherchiert sind und damit auf den ersten Blick durchaus legitim erscheinen. So enthalten sie beispielsweise Hinweise auf Führungskräfte, Adressen von Ämtern, offizielle Logos und Angebotsanfragen, Verträge und verweisen auf reale Projekte, um authentisch zu wirken. In einem von den Sicherheitsforschern beschriebenen Fall wurde in der Phishing-E-Mail ein konkretes Kraftwerksprojekt als Köder eingesetzt. Bei derartig hervorragend recherchierten und aufbereiten Kampagnen spricht man von Spearphishing, denn im Gegensatz zum normalen Phishing gehen die Kriminellen sehr methodisch vor und attackieren ein ganz bestimmtes Ziel, anstatt ihre E-Mails möglichst breit zu streuen, in der Hoffnung, dass ihnen jemand in die Falle tappt.

Im aktuellen Fall sollen die Opfer dazu verleitet werden, auf einen Anhang zu klicken, der sich als PDF tarnt. Tatsächlich handelt es sich jedoch um eine IMG-, ISO- oder CAB-Datei, die den Nutzer auf eine ausführbare Datei weiterleitet, über die dann wiederum die Malware auf die Rechner gelangt. Zum Einsatz kommen dabei unterschiedliche Remote Access Tools, also Software für den Fernzugriff, wie Formbook, Agent Tesla oder Loki, die in vielen Fällen als Malware-as-a-Service angeboten werden. Das wiederum bedeutet, dass die Hintermänner der Kampagne ihre Tools nicht selbst entwickeln, sondern ganz einfach auf Bestellung nutzen. Die Sicherheitsforscher von Intezer warnen davor, dass so die Kampagne besser getarnt werden soll, da die gemietete Malware auch bei anderen kriminellen Aktivitäten zum Einsatz kommt. Das wiederum könnte ein Hinweis darauf sein, dass es sich bei den vorliegenden Fällen um die erste Stufe einer größeren Kampagne handelt.

Verschickt wurden die E-Mails an internationale Unternehmen, die in den Bereichen Öl, Gas und Energie sowie in der Fertigung und der Technologieentwicklung tätig sind. Unter ihnen befinden sich Opfer in den USA, den Vereinigten Arabischen Emiraten, Deutschland und Südkorea. Über die Hintermänner der Angriffe ist derzeit noch nichts bekannt.

Teile der genutzten Infrastruktur konnten mittlerweile entfernt oder ausgeschaltet werden, doch es ist nicht unwahrscheinlich, dass die Kampagne weiterhin aktiv ist. Unternehmen sollten daher extrem vorsichtig sein, wenn es um eingehende E-Mails geht. Besonders von Anhängen und Links geht eine nicht zu unterschätzende Gefahr aus, selbst wenn der Absender und die E-Mail selbst legitim erscheinen.
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.