Trend Micro hat einen Hackerangriff aufgedeckt, hinter dem eine von der iranischen Regierung gesponserte Gruppe Cyberkrimineller mit dem Namen „Rocket Kitten“ stecken soll. Die Operation „Woolen-Goldfish“ richtete sich gegen Behörden in Deutschland, akademische Einrichtungen in Israel sowie europäische Organisationen und Unternehmen. Ihnen gemeinsam sei, dass sie sich „in der einen oder anderen Weise mit Iran beschäftigen“, heißt es in einer Pressemitteilung von Trend Micro.
Das Sicherheitsunternehmen vermutet, dass die Ziele über Informationen verfügen, die für die Regierung des Iran interessant sein könnten. Zudem will Trend Micro ein Mitglied der Gruppe enttarnt haben: Bei dem Hacker „Wool3n.H4t“, der den Angriff wohl geleitet hat, könne es sich um Mehdi Madavi handeln, so Trend Micro weiter.
Die Hacker sollen ihre Ziele mit speziell präparierten Spear-Phishing-E-Mails dazu verleitet haben, Spionagesoftware zu installieren. Dafür nahmen sie unter anderem die Identität eines israelischen Ingenieurs und einer bekannten Persönlichkeit aus dem israelischen Verteidigungssektor an. Ein Klick auf einen in der E-Mail enthaltenen Link war laut Trend Micro ausreichend, um einen Rechner zu infizieren. Anschließend zeichnete ein Keylogger alle Tastatureingaben auf und sendete die Informationen an einen Befehlsserver in Deutschland.
Die Malware selbst, die Trend Micro „Tspy_Woolerg.A“ nennt, sei „ganz neu“ und wahrscheinlich von einem Mitglied der Hackergruppe entwickelt worden. Trend Micro beschreibt sie als eine in einer Archivdatei enthaltene ausführbare Datei, die sich als PowerPoint-Dokument tarnt.
„Die Angriffsmethode ist nicht neu und die Spionagesoftware ist auch nicht von außergewöhnlicher Qualität. Das tut dem Erfolg der Attacke allerdings keinen Abbruch, schließlich wurden zahlreiche Ziele infiltriert“, erklärte Udo Schneider, Pressesprecher von Trend Micro. „Selbst geschulte Anwender und Geheimnisträger dürften hin und wieder der Versuchung erliegen, eine E-Mail zu öffnen, die vermeintlich von einem legitimen Absender stammt. Voraussetzung ist nur, dass der Inhalt stimmt. Und dies scheint bei Woolen-Goldfish der Fall zu sein. Die Vermutung liegt nahe, dass sowohl Wool3n.H4t als auch seine Auftraggeber aus dem Iran kommen.“
Rocket Kitten macht Trend Micro auch für eine frühere Kampagne mit ähnlichen Zielen verantwortlich. Dabei wurde die Schadsoftware Ghole eingeschleust, die allerdings mehr Nutzerinteraktion voraussetzt als die neue für Woolen-Goldfish verwendete Malware. Auch hier versteckten die Angreifer ihre Spionagesoftware in einem Microsoft-Office-Dokument.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Suchmaschinenoptimierung (SEO) ist ein zentraler Faktor für den nachhaltigen Erfolg im digitalen Wettbewerb. Sie generiert…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…