Phishing-Angriffe mit gefälschten Stellenangeboten

Microsoft warnt davor, dass Hacker Open-Source-Software und gefälschte Social-Media-Konten nutzen, um Softwareingenieure und IT-Support-Mitarbeiter mit gefälschten Jobangeboten zu täuschen, die in Wirklichkeit zu Malware-Angriffen führen.

Die Phishing Hackergruppe namens ZINC, die mit den nordkoreanischen Streitkräften in Verbindung steht, nutzt Trojaner und Open-Source-Apps sowie Köder auf LinkedIn, um Angestellte der Tech-Industrie anzugreifen, so die Bedrohungsanalysten von Microsofts Advanced Persistent Threat (APT) Research Group.

Das Microsoft Threat Intelligence Center (MSTIC, ausgesprochen „Mystic“) hat beobachtet, dass die Gruppe seit Ende April PuTTY, KiTTY, TightVNC, Sumatra PDF Reader und den muPDF/Subliminal Recording Software Installer für diese Angriffe verwendet, so der Blogpost von MSTIC.

Die Hackergruppe hat es auf Mitarbeiter in den Bereichen Medien, Verteidigung und Luft- und Raumfahrt sowie IT-Dienste in den USA, Großbritannien, Indien und Russland abgesehen. Die Gruppe steckte auch hinter dem massiven Angriff auf Sony Pictures Entertainment im Jahr 2014.

Die Google-Cloud-Bedrohungsanalysten von Mandiant, wie die Hackergruppe, die auch unter dem Namen Lazarus bekannt ist und von Microsoft unter dem Namen ZINC verfolgt werden, beobachteten im Juli, wie die Gruppe Ziele in der Technologie- und Medienbranche mit gefälschten Jobangeboten ansprach und über WhatsApp eine trojanisierte Instanz von PuTTY weitergab.

„Microsoft-Forscher haben Spearphishing als Haupttaktik der ZINC-Akteure beobachtet, aber sie haben auch strategische Website-Kompromittierungen und Social Engineering über soziale Medien beobachtet, um ihre Ziele zu erreichen“, stellt MSTIC fest.

„ZINC zielt auf Mitarbeiter von Unternehmen ab, die es zu infiltrieren versucht, und versucht, diese Personen zu zwingen, scheinbar harmlose Programme zu installieren oder waffenfähige Dokumente zu öffnen, die bösartige Makros enthalten. Gezielte Angriffe wurden auch gegen Sicherheitsforscher über Twitter und LinkedIn durchgeführt.

Die Gruppe befasst sich mit Spionage, Datendiebstahl, dem Hacken von Kryptobörsen und Banksystemen sowie der Zerstörung von Netzwerken. Sie wird auch unter den Namen Labyrinth Chollima und Black Artemis geführt.

Ein Sicherheitsteam von LinkedIn, das zu Microsoft gehört, hat außerdem festgestellt, dass diese Akteure gefälschte Profile erstellen, um sich als Personalverantwortliche von Unternehmen aus den Bereichen Technologie, Verteidigung und Medienunterhaltung auszugeben. Das Team für Bedrohungsprävention und -abwehr von LinkedIn löschte die gefälschten Konten.

Laut Microsoft wurden die Zielpersonen von LinkedIn zu WhatsApp geleitet, um Malware zu verbreiten, und es handelte sich um IT- und IT-Support-Mitarbeiter in Unternehmen in den USA, Großbritannien und Indien. Die Threat Analysis Group (TAG) von Google fand heraus, dass die Gruppe im vergangenen Januar Twitter, Discord, YouTube, Telegram, Keybase und E-Mail mit einer ähnlichen Taktik nutzte.

US-Behörden warnten US-amerikanische und europäische Unternehmen im vergangenen Jahr vor IT-Unternehmern, die sich um Support- und Entwicklerstellen bewarben.

„ZINC hatte es vor allem auf Ingenieure und technische Supportmitarbeiter abgesehen, die in Medien- und Informationstechnologieunternehmen in Großbritannien, Indien und den USA arbeiten“, warnte MSTIC.

„Die Zielpersonen erhielten auf ihren Beruf oder Hintergrund zugeschnittene Angebote und wurden aufgefordert, sich auf eine offene Stelle bei einem der zahlreichen seriösen Unternehmen zu bewerben. In Übereinstimmung mit seinen Richtlinien hat LinkedIn alle Konten, die bei diesen Angriffen identifiziert wurden, schnell gelöscht, wenn sie mit betrügerischem Verhalten in Verbindung gebracht wurden.“