Cybersicherheitsexperten haben eine neue, hochentwickelte Phishing-Kampagne aufgedeckt, die gezielt Industrieunternehmen ins Visier nimmt. Die als Sticky Werewolf (auch bekannt als PhaseShifters) identifizierte APT-Gruppe verwendet dabei ausgefeilte Social-Engineering-Taktiken, indem sie sich als Vertreter von Behörden ausgibt.
Anatomie der Phishing-Kampagne
Am 13. Januar 2025 wurde eine komplexe Phishing-Mail identifiziert, die sich als offizielle Behördenkommunikation tarnte. Die Angreifer nutzten dabei gefälschte Behördendokumente als Köder, machten jedoch kritische Fehler in der Authentizität der Dokumente, darunter inkonsistente Datumsangaben und falsche Amtsbezeichnungen.
Technische Analyse der eingesetzten Malware
Die Untersuchung ergab, dass die Phishing-Mails einen passwortgeschützten RAR-Archiv enthielten. Nach der Extraktion wurde ein getarnter Executable-File identifiziert, der bei Ausführung den Ozone Remote Access Trojan (RAT) installiert. Diese Malware ermöglicht den Angreifern vollständigen Remote-Zugriff auf kompromittierte Systeme.
Werkzeuge und Taktiken der Angreifer
Das Analyse-Team konnte weitere Angriffe der Gruppe zurück bis Dezember 2024 nachverfolgen. Sticky Werewolf nutzt ein breites Arsenal an Malware-Tools, darunter:
– Darktrack RAT
– Ozone RAT
– Glory Stealer
– MetaStealer (eine RedLine-Variante)
Geografische Ausbreitung und Ziele
Die Angriffskampagne konzentriert sich primär auf Forschungseinrichtungen und Industrieunternehmen in mehreren europäischen Ländern. Die geografische Verteilung und die Auswahl der Ziele deuten auf eine strategisch motivierte Kampagne zur Industriespionage hin.
Diese hochentwickelte Angriffskampagne unterstreicht die wachsende Bedrohung durch gezielte Cyberangriffe auf kritische Infrastrukturen. Organisationen sollten ihre Sicherheitsmaßnahmen verstärken, insbesondere durch:
– Implementierung mehrstufiger E-Mail-Filterung
– Regelmäßige Sicherheitsschulungen für Mitarbeiter
– Einsatz moderner Endpoint-Detection-and-Response (EDR) Systeme
– Kontinuierliches Monitoring verdächtiger Netzwerkaktivitäten
