Proofpoint-Forscher haben eine über Jahre andauernde Social-Engineering- und Malware-Kampagne der vom iranischen Staat unterstützten Hackergruppe TA456 identifiziert. Mit Hilfe des Social-Media-Pseudonyms „Marcella Flores“ etablierten die Cyberkriminellen eine Beziehung zu einem Mitarbeiter einer kleinen Tochtergesellschaft eines Rüstungsunternehmens im Bereich Luft- und Raumfahrt. Zu diesem Zweck wurden sowohl Kommunikationswege des Unternehmens als auch private Kommunikationskanäle genutzt. Anfang Juni dieses Jahres versuchten die Hacker dann, aus der Beziehung Kapital zu schlagen. Dazu wurde dem Opfer im Rahmen eines andauernden Mail-Verlaufs Schadsoftware geschickt.
Das hierzu verwendete Dokument, das mit Makros versehen war, enthielt einen personalisierten Inhalt und unterstreicht damit die Bedeutung, die TA456 der Zielperson beimaß. Bei der Malware, die dabei zum Einsatz kam, handelte es sich um eine neue Version der Schadsoftware Liderc, der Proofpoint den Namen LEMPO gab. Sobald diese auf einem Zielsystem installiert wurde, kann sie auf dem infizierten Rechner Spionage betreiben, die gesammelten Informationen auf dem Host speichern, sensible Daten über SMTPS an ein von den Hintermännern kontrolliertes E-Mail-Konto weiterleiten und im späteren Verlauf ihre Spuren verwischen, indem sie die Host-Artefakte des jeweiligen Tages löscht.
Diese Kampagne ist ein gutes Beispiel, das belegt, wie hartnäckig bestimmte staatlich unterstützte Hackergruppen Social Engineering zur Unterstützung von Spionageaktivitäten betreiben. Bereits Mitte Juli wurde bekannt, dass Facebook ein Netzwerk ähnlicher Pseudonyme enttarnt hatte, das sie ebenfalls dieser Hackergruppe zuschrieben.
„Proofpoint entdeckt regelmäßig Kampagnen von TA456, bei denen versucht wird, Kunden aus der Rüstungsbranche auszuspionieren, insbesondere solche, die in der Luft- und Raumfahrttechnik tätig sind,“ sagt Sherrod DeGrippo, Senior Director of Threat Research and Protection bei Proofpoint. „Die Spionage-E-Mails von TA456 enthalten in der Regel eine Reihe personalisierter Links zusammen mit einem Tracking-Pixel, das auf einer von der Gruppe kontrollierten Website gehostet wird. TA456 nutzt dann Beziehungen, die via sozialer Medien wie Facebook gepflegt werden, um Malware in sensible Netzwerke einzuschleusen.“
Mehr zu Proofpoint unter: Twitter | LinkedIn | Facebook | YouTube
Proofpoint, Inc. (NASDAQ: PFPT) ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren. Führende Unternehmen aller Größen, darunter mehr als die Hälfte der Fortune-1000-Unternehmen, verlassen sich auf Proofpoints Sicherheits- und Compliance-Lösungen, bei denen der Mensch im Mittelpunkt steht, um ihre wichtigsten Risiken bei der Nutzung von E-Mails, der Cloud, Social Media und dem Internet zu minimieren.
Weitere Informationen finden Sie unter www.proofpoint.com/de.
Proofpoint
Zeppelinstr. 73
80333 München
Telefon: +49 (871) 78064258
http://www.proofpoint.com/de
AxiCom GmbH
Telefon: +49 (89) 80090-819
Fax: +49 (89) 80090-810
E-Mail: matthias.uhl@axicom.com
