Hacker tarnen sich als Sicherheitsfirma

Die Google Threat Analysis Group (TAG) hat eine neue Taktik von Hackern entdeckt. Bedrohungsakteure, die mutmaßlich vom Staat gesponsert und von der nordkoreanischen Regierungspartei unterstützt werden, haben ein Netz aus gefälschten Profilen in den sozialen Medien, einschließlich Twitter, Keybase und LinkedIn, aufgebaut.

„Um Glaubwürdigkeit zu gewinnen und sich mit Sicherheitsforschern zu verbinden, haben die Akteure einen Forschungsblog und mehrere Twitter-Profile eingerichtet, um mit potenziellen Zielen zu interagieren“, so Google. „Sie nutzten diese Twitter-Profile, um Links zu ihrem Blog zu posten, Videos ihrer angeblichen Exploits zu veröffentlichen und um Beiträge von anderen Accounts, die sie kontrollieren, zu verstärken und zu retweeten.“

Wenn Mitglieder der Gruppe ihre Ziele erreichten und in der Security-Community Reputation gewannen, fragten sie, ob ihr beabsichtigtes Opfer an Cybersecurity-Forschung mitarbeiten wolle – bevor sie ihnen ein bösartiges Visual Studio-Projekt mit einer Backdoor schickten. Alternativ bitten sie die Forscher, einen Blog zu besuchen, der bösartigen Code einschließlich Browser-Exploits enthält.

In einem Update vom 31. März erklärte Adam Weidemann von TAG, dass die staatlich gesponserte Gruppe nun ihre Taktik geändert hat, indem sie eine gefälschte, offensive Sicherheitsfirma gegründet hat, komplett mit neuen Social-Media-Profilen und einer gebrandeten Website.

Die gefälschte Firma, genannt „SecuriElite“, wurde am 17. März als securielite[.]com gegründet. SecuriElite behauptet, seinen Sitz in der Türkei zu haben und bietet Penetrationstests, Software-Sicherheitsbewertungen und Exploits an.

Auf der Website wurde ein Link zu einem öffentlichen PGP-Schlüssel eingefügt. Während die Einbindung von PGP als Option für eine sichere Kommunikation zum Standard gehört, hat die Gruppe diese Links in der Vergangenheit als Mittel verwendet, um ihre Ziele auf eine Seite zu locken, auf der ein browserbasierter Exploit auf seinen Einsatz wartet.

Darüber hinaus wurde das SecuriElite-„Team“ mit einem neuen Satz gefälschter Social-Media-Profile ausgestattet. Die Bedrohungsakteure geben sich als befreundete Sicherheitsforscher, Rekrutierer für Cybersecurity-Firmen und in einem Fall als Personalleiter von „Trend Macro“ aus – nicht zu verwechseln mit der seriösen Firma Trend Micro.

Das Team von Google brachte die nordkoreanische Gruppe bereits im Januar mit der Nutzung des Internet Explorer Zero-Day in Verbindung. Das Unternehmen hält es für wahrscheinlich, dass sie Zugang zu weiteren Exploits haben und diese auch in Zukunft gegen seriöse Sicherheitsforscher einsetzen werden.

„Wir haben alle identifizierten Social-Media-Profile an die Plattformen gemeldet, damit diese entsprechende Maßnahmen ergreifen können“, so Google. „Zu diesem Zeitpunkt haben wir nicht beobachtet, dass die neue Angreifer-Website bösartige Inhalte anbietet, aber wir haben sie als Vorsichtsmaßnahme zu Google Safebrowsing hinzugefügt.“

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

6 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

1 Woche ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

1 Woche ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Woche ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

1 Woche ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

2 Wochen ago