Cyber-Angriffskampagne
Info-Stealer-Kampagne zielt auf deutsche Autohäuser
Gefälschte Sonderangebote, Verträge und Websites bekannter deutscher Autohäuser
Check Point Research (CPR), die Spezialisten-Abteilung von Check Point Software Technologies, hat eine laufende und gezielte Cyber-Angriffskampagne entdeckt, die auf deutsche Autohäuser als Deckmantel nutzt. Ziel der Attacken war es, verschiedene Arten von Malware zum Diebstahl von Informationen einzusetzen. Die Akteure hinter der Aktion registrierten zunächst mehrere ähnlich aussehende Domains, die allesamt existierende deutsche Autohäuser imitierten. Die Domains wurden später zum Versenden von Phishing-E-Mails und zum Hosten der Malware-Infrastruktur verwendet. CPR verfolgte die Malware zurück und stieß dabei auf eine iranische Website, die als Hosting-Site verwendet wurde und nicht von einer Regierung betrieben wird.
So gingen die Angreifer vor: Sie richteten zuerst Mailserver mit eigenen Domänen ein und nutzten diese für den Versand von E-Mails. Diese sollten Aufmerksamkeit erregen, indem sie auf verschiedene Autoangebote hinwiesen. Den E-Mails fügten sie Dokumente wie Verträge und Quittungen bei, die sich auf die angeblichen Geschäfte bezogen. Diese HTA-„Dokumente" wurden in ISO/IMG-Dateien archiviert. Sobald sie angezeigt wurden, luden die Bedrohungsakteure Malware herunter und führten sie auf dem Computer der Zielpersonen aus, um Informationen zu stehlen.
Die Identität der Drahtzieher hinter dem Angriff ist in diesem Fall nicht klar. CPR fand gewisse Verbindungen zu iranischen nichtstaatlichen Organisationen, aber es ist unklar, ob es sich um legitime Websites handelte, die kompromittiert wurden, oder ob es eine tiefere Verbindung zu dieser Operation gibt.
„Wir haben einen gezielten Angriff auf deutsche Unternehmen, hauptsächlich Autohändler, entdeckt. Die Angreifer nutzen eine umfangreiche Infrastruktur, die darauf ausgelegt ist, bestehende deutsche Unternehmen zu imitieren.“, stellt Yoav Pinkas, Sicherheitsforschung bei Check Point Software , fest. „Die Angreifer verwenden Phishing-E-Mails mit einer Kombination von ISO\HTA-Nutzdaten, die Opfer mit verschiedenen Malware-Programmen infizieren und Informationen stehlen, wenn sie geöffnet werden. Schlüssige Beweise für die Motivation der Angreifer haben wir nicht, wir glauben aber, dass es um mehr als nur um das Abgreifen von Kreditkartendaten oder persönlichen Informationen ging. Die Ziele wurden sorgfältig ausgewählt, und die Art und Weise, wie die Phishing-E-Mails versendet wurden, ermöglichte eine Korrespondenz zwischen den Opfern und den Angreifern. Eine Möglichkeit ist, dass die Angreifer versuchten, Autohäuser zu kompromittieren und deren Infrastruktur und Daten zu nutzen, um Zugang zu sekundären Zielen wie größeren Lieferanten und Herstellern zu erhalten. Das wäre nützlich für BEC-Betrug (Business, E-Mail, Compromise) oder Industriespionage.“
Die Identifikation gelang den Experten dabei unter anderem durch die Analyse der Gestaltung und der Wortwahl im Mailverkehr: „Das Social Engineering erregte unsere Aufmerksamkeit, z. B. wie die Bedrohungsakteure die Unternehmen auswählten, als die sie sich ausgaben, und auch die Formulierung der E-Mails und der angehängten Dokumente. Bei dieser Art von Angriffen geht es vor allem darum, den Empfänger von der Echtheit des Köders zu überzeugen. Der gleichzeitige Zugang zu mehreren Opfern verschafft dem Angreifer einen erheblichen Vorteil. Wenn zum Beispiel zwei Ihrer Subunternehmer unabhängig voneinander über ein bereits bekanntes Thema oder ein Gespräch berichten, das die Zielpersonen mit ihnen geführt haben, verleiht das ihrem Ersuchen eine viel größere Glaubwürdigkeit.“
