Cybersicherheitsexperten von Kaspersky haben eine hochentwickelte Phishing-Kampagne aufgedeckt, die seit dem Frühjahr 2023 russische Unternehmen und Privatpersonen ins Visier nimmt. Die als „Horns&Hooves“ bezeichnete Operation tarnt schädliche Anhänge als legitime Geschäftsanfragen, um Opfer zur Ausführung von Malware zu verleiten.
Raffinierte Social-Engineering-Taktiken
Die Angreifer setzen auf ausgeklügelte Social-Engineering-Methoden, um ihre Malware zu verbreiten. Sie versenden E-Mails, die als Anfragen von potenziellen Kunden oder Geschäftspartnern getarnt sind. Diese enthalten ZIP-Archive mit bösartigen JScript-Dateien, die als verschiedene geschäftliche Dokumente wie Bestellungen, Preisanfragen oder Beschwerden maskiert sind.
Um ihre Glaubwürdigkeit zu erhöhen, fügen die Cyberkriminellen oft legitime Geschäftsdokumente wie Handelsregisterauszüge in die Archive ein. Bei der Ausführung des schädlichen Skripts wird dem Opfer zudem ein Köder-Dokument angezeigt, beispielsweise eine Tabelle mit einer Produktliste.
Gefährliche Malware-Infektionen
Die primären Schadprogramme, die bei diesen Angriffen eingesetzt werden, sind die Remote-Access-Trojaner (RAT) NetSupport RAT und BurnsRAT. Diese basieren auf legitimen Fernwartungstools, deren Funktionen von den Angreifern missbraucht werden. In einigen Fällen werden nach der initialen Infektion zusätzlich Infostealer wie Rhadamanthys und Meduza nachgeladen.
Weitreichende Konsequenzen für Unternehmen
Die Folgen einer erfolgreichen Infektion können für betroffene Unternehmen gravierend sein. Je nachdem, wer Zugriff auf die kompromittierten Systeme erlangt, drohen Datendiebstahl, Verschlüsselung von Daten oder Beschädigung von IT-Infrastruktur. Die Angreifer können zudem sensible Dokumente und E-Mail-Adressen für weitere gezielte Attacken sammeln.
Vermutete Tätergruppe und Motivation
Kaspersky-Forscher vermuten die Hackergruppe TA569 (auch bekannt als Mustard Tempest oder Gold Prelude) hinter der Kampagne. Diese Gruppe ist dafür bekannt, Zugang zu infizierten Systemen im Darknet an andere Cyberkriminelle zu verkaufen. Dies erklärt die Vielfalt der eingesetzten Malware und potenziellen Folgen für die Opfer.
Besonders gefährdete Ziele
Kleine und mittlere Unternehmen sind besonders anfällig für solche Angriffe, da sie oft nicht über ausreichende Ressourcen für umfassende Sicherheitsmaßnahmen verfügen. Die Tarnungstaktiken der Angreifer machen es zudem für Mitarbeiter schwierig, betrügerische Anfragen von legitimen zu unterscheiden.
Um sich vor solch raffinierten Phishing-Kampagnen zu schützen, ist eine umfassende Cybersicherheitsstrategie unerlässlich. Dazu gehören technische Schutzmaßnahmen, aber vor allem auch regelmäßige Schulungen der Mitarbeiter zu aktuellen Bedrohungen und sicherem Umgang mit E-Mails und Anhängen. Nur so lässt sich der menschliche Faktor als größte Schwachstelle effektiv absichern und die Widerstandsfähigkeit von Unternehmen gegen Social-Engineering-Angriffe nachhaltig stärken.
