Europas Industrie im Visier: Massive Phishing-Attacke

Lesezeit
weniger als
1 Minute
Bis jetzt gelesen

Europas Industrie im Visier: Massive Phishing-Attacke

19.12.2024 - 09:31
Veröffentlicht in:

Eine großangelegte Phishing-Kampagne hat im Juni 2024 mindestens 20.000 Nutzer aus der europäischen Automobil-, Chemie- und Industriebranche ins Visier genommen. Die Sicherheitsforscher von Unit 42 identifizierten dabei zwei Hauptangriffswege: gefälschte DocuSign-PDF-Dateien sowie manipulierte Links zu HubSpots Form Builder, die in Phishing-Mails eingebettet waren.

Die Angreifer gingen dabei laut Unit 42 hochprofessionell und zielgerichtet vor. Sie passten ihre Phishing-Versuche genau an die jeweiligen Zielorganisationen an, verwendeten deren Markennamen und E-Mail-Formatierungen. Die gefälschten PDF-Anhänge enthielten sogar die Namen der anvisierten Unternehmen. Besonders auffällig war der Versuch, die Opfer zur Eingabe ihrer Microsoft Azure-Zugangsdaten zu bewegen.

Die technische Infrastruktur der Kampagne war komplex und gut durchdacht. Die Angreifer nutzten verschiedene Dienste, darunter auch sogenannte "Bulletproof"-Hosting-Anbieter, die für ihre laxe Durchsetzung rechtlicher Vorschriften bekannt sind. Interessanterweise verwendeten die Täter dieselbe Infrastruktur sowohl für ihre Phishing-Aktivitäten als auch für den späteren Zugriff auf kompromittierte Microsoft-Azure-Konten.

Nach erfolgreicher Kompromittierung setzten die Angreifer auf raffinierte Persistenz-Mechanismen. Sie fügten neue Geräte zu den gehackten Konten hinzu, um dauerhaften Zugang zu behalten. Dies führte in einigen Fällen zu einem regelrechten "Tauziehen" um die Kontrolle der Konten zwischen den Angreifern und den IT-Teams der betroffenen Unternehmen.

Unit 42 arbeitet nach eigenem Bekunden eng mit HubSpot zusammen, um Benachrichtigungs- und Eindämmungsstrategien zu entwickeln. Die Sicherheitsforscher gehen davon aus, dass die Kampagne bei mehreren Unternehmen in verschiedenen europäischen Ländern erfolgreich war. Die betroffenen Organisationen wurden bei der Wiederherstellung ihrer Systemsicherheit unterstützt. DocuSign teilte mit, dass zusätzliche Schutzmaßnahmen implementiert wurden, die die Anzahl betrügerischer Signaturanfragen deutlich reduziert haben.

Ähnliche Beiträge

Phishing per QR-Code auf dem Vormarsch

Quishing kombiniert QR-Codes mit klassischen Phishing-Techniken. Wie das Cybersicherheitsunternehmen Sophos berichtet, nehmen diese Angriffe seit Juni 2024 deutlich zu. Die Betrüger versenden dabei E-Mails mit PDF-Anhängen, die harmlos aussehende QR-Codes enthalten. Wenn Mitarbeiter diese Codes mit ihren Smartphones scannen, landen sie auf täuschend echt aussehenden Loginseiten.

Sicher klicken

Any.Run hat mit Safebrowsing ein neues Tool vorgestellt, das Nutzern einen sicheren Weg bietet, verdächtige URLs in einer isolierten Cloudumgebung zu untersuchen. Der Dienst ermöglicht es, potenziell gefährliche Websites in einem virtuellen Browser zu öffnen und deren Inhalte interaktiv zu prüfen, ohne das lokale System zu gefährden.