Mit gezielten Phishing-Attacken gehen unbekannte Angreifer seit Anfang 2020 verstärkt gegen Industrieunternehmen und ihre Zulieferer vor, meldet Kaspersky. Nach Angaben des russischen Sicherheitsanbieters nutzen sie dabei vor allem infizierte Microsoft-Office-Dokumente, PowerShell-Skripte sowie weitere nicht näher ausgeführte Methoden, um Anbieter von Geräten und Software für die Industrie zu attackieren.
Die entdeckten Phishing-Mails seien sprachlich für jedes Opfer individuell angepasst worden. Interessanterweise führte die verwendete Malware nur dann Aktivitäten aus, wenn die Sprache des Betriebssystems mit der Sprache der Mail übereinstimmte. Wenn dies der Fall war, kam unter anderem die Schadsoftware Mimikatz zum Einsatz. Sie ist darauf spezialisiert, Authentifizierungsdaten zu stehlen. Anschließend versuchten die Angreifer sich mit Hilfe der geklauten Anmeldedaten weiter im Netzwerk zu verbreiten. Ihre genauen Ziele bleiben aber unklar, da Kaspersky alle Attacken erfolgreich gestoppt habe.
Lesetipp: Threat Intelligence - Kaspersky bietet kundenspezifische Warnungen an
"Die Angriffe erregten aufgrund mehrerer nicht standardmäßiger technischer Lösungen unsere Aufmerksamkeit", erklärt Vyacheslav Kopeytsev, Sicherheitsexperte bei Kaspersky. Beispielsweise sei Steganographie verwendet worden, um Bilder zu manipulieren und um Daten darin zu verstecken. Diese seien dann auf legitimen Web-Ressourcen abgelegt worden. Das macht es nach Aussage von Kopeytsev "fast unmöglich, den Download solcher Malware mithilfe von Lösungen zur Überwachung und Steuerung des Netzwerkverkehrs zu erkennen". Aus Sicht vieler Sicherheits-Tools unterscheide sich diese Aktivität nicht von ansonsten üblichen Zugriffen.
"Obwohl ein starker Endpunktschutz ausreicht, um ähnliche Angriffe zu verhindern, empfehlen wir dennoch einen ganzheitlichen Ansatz zur Unterstützung der Cyber-Abwehr zu verwenden", ergänzt Anton Shipulin, Solution Business Lead bei Kaspersky Industrial Cyber-Security. Die Attacken seien auf auf Systeme in Japan, Italien, Deutschland und Großbritannien erfolgt.
Auch lesenswert: Kaspersky führt Partnerkonferenz nur online durch