Eine Hackeraktion nutzte Fotos vom Instagram-Konto eines ahnungslosen Opfers als Lockmittel für eine Kampagne, die weit über ein Jahr dauerte.
Ein Screenshot der gefälschten Facebook-Seite, mit der Opfer der Hacking-Kampagne angelockt wurden.
Sind Sie sicher, dass Sie wissen, wer dieser LinkedIn-Kontakt wirklich ist? Möglicherweise handelt es sich nicht um die Person, für die sie sich wirklich ausgeben, sondern um einen Hacker, der Ihr Profil ausnutzen oder – schlimmer noch – Ihre Handlungen manipulieren möchte.
Cyberspionage-Aktivitäten, die offenbar im Auftrag der iranischen Regierung durchgeführt werden, zielen auf Organisationen in der Finanz-, Öl-, Technologie und anderen Sektoren mit fortschrittlichem Social Engineering, das auf einer einzigen, produktiven Social-Media-Persönlichkeit basiert, das ist absolut so gefälscht. Dessen Ziel? Zur Installation von Trojaner-Malware in den Netzwerken der Zielorganisationen.
Sicherheit
- 8 Gewohnheiten hochsicherer Remote-Mitarbeiter
- So finden und entfernen Sie Spyware von Ihrem Telefon
- Die besten VPN-Dienste: Wie schneiden die Top 5 im Vergleich ab?
- So finden Sie heraus, ob Sie in einen Datenverstoß verwickelt sind – und was als nächstes zu tun ist
Die von Cybersicherheitsforschern aufgedeckte Operation SecureWorksist das Werk einer Gruppe, die offenbar mit der iranischen Regierung in Verbindung steht und Spear-Phishing einsetzt, um Ziele zu kompromittieren.
Zu Beginn dieses Jahres sahen Forscher eine Phishing-Kampagne Zielgruppe sind Personen in Organisationen vorwiegend im Nahen Osten und Nordafrika, einige auch in den USA. Zu den allgemeinen Betreffzeilen der E-Mails gehörten Stellenangebote und Aufforderungen zum Zurücksetzen von Passwörtern.
Diese Köder enthielten verkürzte URLs, die zu Dokumenten führten, die beim Öffnen PupyRAT, eine Open-Source-Remote, installierten Zugriffstrojaner, der Windows, Linux, OSX und Android infiltrieren kann, um dem Bedrohungsakteur vollständigen Zugriff auf die Benutzeroberfläche des Opfers zu gewähren System.
Doch als weniger Opfer auf den Plan hereinfielen als erwartet, versuchte es die Hackergruppe erneut mit einer Fälschung Social-Media-Profil, das seit Mitte letzten Jahres mit einigen der Zielpersonen interagiert hatte Jahr.
Das Profil mit dem Namen „Mia Ash“ soll eine junge Frau sein, die in der Fotografie in London arbeitet und über soziale Medien eine Beziehung zu verschiedenen Zielpersonen aufbaute. Allerdings war die Persona völlig gefälscht und verwendete Instagram-Fotos einer jungen Frau in Osteuropa.
„Mia Ash war die Nachfolgeaktivität einer erfolglosen Kampagne, weshalb sie die großen Geschütze hervorholten und die nutzten Persona, um Personen auf LinkedIn direkt anzusprechen“, sagte Allison Wikoff, leitende Sicherheitsforscherin bei SecureWorks ZDNet.
Das Profil ist seit April 2016 aktiv und hat über 500 Verbindungen auf ihrem LinkedIn-Profil und eine noch größere Anzahl auf Facebook. Der LinkedIn-Account hat die Stellenbeschreibung eines seriösen Fotografen in den USA gestohlen und scheint sich zunächst mit anderen Fotografen in Verbindung gesetzt zu haben, um authentisch zu wirken.
Anschließend begann die Kampagne, Zielgruppen hinzuzufügen, beispielsweise Personen, die für Unternehmen mit Sitz im Nahen Osten oder in Afrika in den Bereichen Telekommunikation, Technologie sowie Öl und Gas arbeiten. Hunderte nahmen die Anfrage an, viele davon mit Rollen wie IT-Support, Techniker und Ingenieure – Personen, die über höhere Zugriffsrechte verfügen als normale Benutzer.
„Die meisten dieser Leute hatten Stellenbeschreibungen, die darauf hindeuteten, dass sie möglicherweise privilegierten Zugang zu ihrem Unternehmen hatten“, sagte Wikoff. „Es sollte nicht überraschen, aber es waren alles Männer – sie nutzen den 1000 Jahre alten Trick“, fügte sie hinzu.
Siehe auch
Ransomware: Ein Leitfaden für Führungskräfte zu einer der größten Bedrohungen im Internet
Alles, was Sie über Ransomware wissen müssen: Wie es begann, warum es boomt, wie man sich davor schützt und was zu tun ist, wenn Ihr PC infiziert ist.
Lies jetztNatürlich handelt es sich in diesem Fall nicht um eine reale Person, sondern nur um eine Gruppe von Angreifern, die ein Profil verwalten, sondern um eine Person, die regelmäßig mit Opfern interagiert, die ebenfalls reagieren.
„Das Facebook-Profil von Mia Ash war sehr aktiv, es veröffentlichte regelmäßig neue Fotos und es gab eine ganze Reihe von Kommentaren von Zielpersonen, die diese Fotos kommentieren. „Sie haben sich nicht mit ihr angefreundet und ihr nie wieder Aufmerksamkeit geschenkt, es gibt viele Likes von denselben Leuten“, erklärte Wikoff.
Der Angriff beginnt mit Nachrichten über LinkedIn, bevor er auf Facebook und schließlich per E-Mail übergeht. In einem bestimmten Fall der von Forschern untersuchten Kampagne endete der E-Mail-Austausch damit, dass „Mia“ dem Ziel eine Nachricht schickte Ich habe ihnen ein Microsoft-Excel-Dokument „Copy of Photography Survey.xlsm“ per E-Mail geschickt und sie aufgefordert, es bei der Arbeit zu öffnen, damit es „funktioniert“. richtig'.
Diese Umfrage setzte Makros fort, die nach ihrer Aktivierung den PupyRAT-Trojaner auf das Zielsystem herunterluden und den Angreifern Zugriff auf das Netzwerk verschafften.
„Sie haben sich wirklich viel Mühe gegeben und sich mit dem Welsfischen beschäftigt“, sagte Wikoff. „Sie setzen das P einer dauerhaften Bedrohung aus. Der erste Angriff hat nicht funktioniert, also hat der Bedrohungsakteur eine Persona, die er aufgebaut hat und bereit ist, zu den Organisationen zurückzukehren, in die er eindringen möchte.“
Die Gruppe ist weiterhin aktiv und versucht immer noch, die Netzwerke Tausender Organisationen auf der ganzen Welt, insbesondere im Nahen Osten und in Afrika, zu infiltrieren. Laut SecureWorks handelt es sich bei der Operation um eine der produktivsten Hacking-Gruppen der Welt, noch produktiver als Ausgefallener Bär oder verschiedene chinesische Gruppen.
Was die Frau betrifft, deren Fotos für diese cyberkriminelle Operation gestohlen wurden, gelang es SecureWorks, einzudringen Berührung und sie war „schockiert“ über das, was vor sich ging – aber die in diesem Stück verwendeten Bilder beziehen sich auf sie Erlaubnis. LinkedIn hat das gefälschte Konto entfernt.
Dieser Fall verdeutlicht nicht nur die Gefahren hochentwickelter Cyberangriffe die Risiken einer Verbindung zu unbekannten Social-Media-Konten, wird Ihnen klar, wie Sie Ihre eigenen Social-Media-Konten sperren sollten, denn wer weiß, wer Sie vielleicht beobachtet.
LESEN SIE MEHR ÜBER CYBERKRIMINALITÄT
- Schmeichelhaft, um zu täuschen: Warum Narzissten ein leichtes Ziel für Hacker sind
- Wie man ein meisterhafter Cyberdetektiv wird [TechRepublic]
- Cybercrime Inc: Wie sich Hackerbanden am Beispiel großer Unternehmen orientieren
- Das nächste Ziel eines Hackers ist nur eine Websuche entfernt [CNET]
- Hacker nutzen diese neue Angriffsmethode, um Energieversorger ins Visier zu nehmen