Hacker attackieren Excel-Dateien

Attacken auf unbedarfte Excel-Anwender. Die Hackergruppe TA505 (Threat Actor 505, auch Graceful Spider bzw. Gold Tahoe genannt) hat eine ganze Reihe digitaler Angriffe auf Unternehmen gestartet, darunter eine Kampagne speziell im deutschsprachigen Raum.

Gefälschte Excel Datei 1 (Bild: Proofpoint)

So oder so ähnlich sehen die Nachrichten aus, mit denen die kriminelle Hackergruppe TA505 Unternehmen und private Anwender in Deutschland und Österreich attackiert.

Seit Anfang September 2021 beobachten die Experten des US-amerikanischen Cybersecurity-Spezialisten Proofpoint erneut Malware-Kampagnen der Hackergruppe TA505. Die Gruppe verfügt offensichtlich über beträchtliche finanzielle Mittel, da sie bereits in der Vergangenheit für die mitunter größten digitalen Attacken via E-Mail verantwortlich war. Dabei kam Schadsoftware wie Dridex und The Trick (beide zum Ausspähen von Login-Daten des Online-Bankings) oder die Erpressungssoftware Locky und Jeff zum Einsatz. Die jetzt beobachteten Kampagnen, die sich über eine Vielzahl von Branchen erstrecken, begannen mit E-Mails in geringer Zahl. Seit Ende September nimmt das Volumen zu und erreicht nun im Oktober hunderttausende von E-Mails.

Gefälschte Excel Datei 2 (Bild: Proofpoint)

Wird der Inhalt der Excel-Datei aktiviert, installieren sich die Anwender Software zum Ausspionieren der Login-Daten des Online-Bankings oder verschlüsseln ihren PC und müssen dann Lösegeld bezahlen, um diesen wieder zu entschlüsseln.

Viele der Kampagnen, insbesondere die großvolumigen, ähneln stark den Aktivitäten von TA505 in den Jahren 2019 und 2020. Zu den Gemeinsamkeiten gehören Ähnlichkeiten bei den Domain-Namen, E-Mail-Ködern, Excel-Datei-Ködern sowie die Verwendung des Remote-Access-Trojaners (RAT) FlawedGrace.

„Öffnen Sie niemals Dateien unbekannter Herkunft“, warnt Sherrod DeGrippo, Senior Director of Threat Research and Protection bei Proofpoint. „Derzeit attackiert die Hackergruppe TA505 erneut Anwender in Deutschland und Österreich mit einer Serie von Cyberkampagnen. Klicken Sie auf eine Datei der Kriminellen, wird der PC beispielsweise verschlüsselt und nur gegen Lösegeld wieder entschlüsselt. Eine weitere, dabei ebenfalls sehr häufig von den Tätern angewandte Taktik ist der Diebstahl von Login-Daten.“

Sie empfiehlt darüber hinaus: „Privatnutzer sollten einfach die komplette E-Mail des unbekannten Absenders löschen. Erhalten Sie eine verdächtige Mail auf Ihrem Firmen-PC, geben Sie umgehend der IT-Abteilung Ihres Unternehmens Bescheid. Diese kümmert sich darum, dass nichts Schlimmes passiert.“

Gefälschte Excel Datei 3 (Bild: Proofpoint)

13. Oktober 2021 Landing Page, die das Branding von Microsoft und OneDrive missbraucht.

TA505 ist ein etablierter Bedrohungsakteur, der finanziell motiviert und dafür bekannt ist, bösartige E-Mail-Kampagnen in bisher ungekanntem Ausmaß durchzuführen. Die Gruppe ändert regelmäßig ihre TTPs und gilt als Trendsetter in der Welt der Cyberkriminalität. Dieser Bedrohungsakteur schränkt seine Ziele nicht ein und ist in der Tat ein Opportunist, wenn es darum geht, welche Regionen und Branchen er angreifen will. Dies in Kombination mit der Fähigkeit von TA505, flexibel zu sein, sich auf die lukrativsten Ziele zu konzentrieren und seine TTPs je nach Bedarf zu ändern, macht diesen Akteur zu einer ständigen Bedrohung.

Die Forscher von Proofpoint gehen davon aus, dass TA505 seine Operationen und Methoden weiterhin anpassen wird, immer mit Blick auf den finanziellen Gewinn. Der Einsatz von Zwischenladern in seiner Angriffskette wird wahrscheinlich auch zu einer längerfristigen Technik des Bedrohungsakteurs werden.