Die Google Threat Analysis Group (TAG) hat eine neue Taktik von Hackern entdeckt. Bedrohungsakteure, die mutmaßlich vom Staat gesponsert und von der nordkoreanischen Regierungspartei unterstützt werden, haben ein Netz aus gefälschten Profilen in den sozialen Medien, einschließlich Twitter, Keybase und LinkedIn, aufgebaut.
„Um Glaubwürdigkeit zu gewinnen und sich mit Sicherheitsforschern zu verbinden, haben die Akteure einen Forschungsblog und mehrere Twitter-Profile eingerichtet, um mit potenziellen Zielen zu interagieren“, so Google. „Sie nutzten diese Twitter-Profile, um Links zu ihrem Blog zu posten, Videos ihrer angeblichen Exploits zu veröffentlichen und um Beiträge von anderen Accounts, die sie kontrollieren, zu verstärken und zu retweeten.“
Wenn Mitglieder der Gruppe ihre Ziele erreichten und in der Security-Community Reputation gewannen, fragten sie, ob ihr beabsichtigtes Opfer an Cybersecurity-Forschung mitarbeiten wolle – bevor sie ihnen ein bösartiges Visual Studio-Projekt mit einer Backdoor schickten. Alternativ bitten sie die Forscher, einen Blog zu besuchen, der bösartigen Code einschließlich Browser-Exploits enthält.
In einem Update vom 31. März erklärte Adam Weidemann von TAG, dass die staatlich gesponserte Gruppe nun ihre Taktik geändert hat, indem sie eine gefälschte, offensive Sicherheitsfirma gegründet hat, komplett mit neuen Social-Media-Profilen und einer gebrandeten Website.
Die gefälschte Firma, genannt „SecuriElite“, wurde am 17. März als securielite[.]com gegründet. SecuriElite behauptet, seinen Sitz in der Türkei zu haben und bietet Penetrationstests, Software-Sicherheitsbewertungen und Exploits an.
Auf der Website wurde ein Link zu einem öffentlichen PGP-Schlüssel eingefügt. Während die Einbindung von PGP als Option für eine sichere Kommunikation zum Standard gehört, hat die Gruppe diese Links in der Vergangenheit als Mittel verwendet, um ihre Ziele auf eine Seite zu locken, auf der ein browserbasierter Exploit auf seinen Einsatz wartet.
Darüber hinaus wurde das SecuriElite-„Team“ mit einem neuen Satz gefälschter Social-Media-Profile ausgestattet. Die Bedrohungsakteure geben sich als befreundete Sicherheitsforscher, Rekrutierer für Cybersecurity-Firmen und in einem Fall als Personalleiter von „Trend Macro“ aus – nicht zu verwechseln mit der seriösen Firma Trend Micro.
Das Team von Google brachte die nordkoreanische Gruppe bereits im Januar mit der Nutzung des Internet Explorer Zero-Day in Verbindung. Das Unternehmen hält es für wahrscheinlich, dass sie Zugang zu weiteren Exploits haben und diese auch in Zukunft gegen seriöse Sicherheitsforscher einsetzen werden.
„Wir haben alle identifizierten Social-Media-Profile an die Plattformen gemeldet, damit diese entsprechende Maßnahmen ergreifen können“, so Google. „Zu diesem Zeitpunkt haben wir nicht beobachtet, dass die neue Angreifer-Website bösartige Inhalte anbietet, aber wir haben sie als Vorsichtsmaßnahme zu Google Safebrowsing hinzugefügt.“
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…