Cybersicherheitsexperten warnen vor einer besorgniserregenden Entwicklung: Die als Librarian Ghouls bekannte Hackergruppe hat ihre Angriffsziele erweitert und nimmt nun verstärkt Industriesysteme ins Visier. Während sich die Gruppe bisher hauptsächlich auf den Diebstahl von Bürodokumenten konzentrierte, zeigt sie nun auch großes Interesse an Dateien, die von Software zur Modellierung und Entwicklung industrieller Systeme verwendet werden.
Bewährte Taktiken, neue Ziele
Laut Analysen der Kaspersky Labs haben sich die grundlegenden Methoden und Tools der Gruppe zur Verbreitung von Malware und zum Datendiebstahl kaum verändert. Bemerkenswert ist, dass die Angreifer sogar weiterhin denselben Domain-Namen (hostingforme[.]nl) für den Datentransfer nutzen. Allerdings haben sich die Namen der als Köder verwendeten Dateien sowie die Formate der gestohlenen Daten geändert.
Raffinierte Phishing-Techniken
Die Librarian Ghouls versenden bösartige RAR-Archive mit .SCR-Dateien, deren Namen Bürodokumente imitieren. Wird eine solche Datei geöffnet, lädt die Malware zusätzliche Schadsoftware herunter, sammelt die für die Angreifer interessanten Daten in Archiven und sendet diese an die Command-and-Control-Server.
Typische Betreffzeilen der Phishing-E-Mails lauten beispielsweise: „Über die Führung des Katalogs der russischen ECB (6-3223 vom 30.08.2024)“ oder „Dringende Anfrage von Voenmech“. Diese gezielten Formulierungen sollen das Vertrauen der Empfänger gewinnen und sie zum Öffnen der infizierten Anhänge verleiten.
Erweitertes Beuteschema: Von Office bis CAD
Während die Hacker früher nur an Office-Dokumenten (*.doc, *.docx) und Telegram-Daten interessiert waren, haben sie ihr Beuteschema nun deutlich erweitert. Zusätzlich zu den bisherigen Dateitypen sammelt die Malware jetzt auch:
- PDF-Dokumente (*.pdf)
- CAD-Dateien (*.dwg, *.dxf)
- 3D-Modelle (*.stp, *.step)
- Simulationsdaten (*.sim)
Diese Erweiterung deutet auf ein gesteigertes Interesse an technischen und industriellen Daten hin, was die Bedrohung für Unternehmen in diesen Sektoren erheblich erhöht.
Breites Spektrum an Zielen in der Industrie
Die Forscher warnen, dass die Ziele der Librarian Ghouls ein breites Spektrum an Unternehmen umfassen, die mit Konstruktion und Entwicklung in verschiedenen Branchen zu tun haben. Zu den bereits identifizierten Angriffszielen gehören:
- Forschungsinstitute verschiedener Ausrichtungen
- Unternehmen der Luft- und Raumfahrtindustrie
- Hersteller von Ausrüstung für die Gas-, Petrochemie-, Kernenergie- und Verteidigungsindustrie
- Produzenten von Tauchausrüstung, Kommunikations- und Radarsystemen
- Hersteller von Kassensystemen, Autokomponenten, industriellen Steuerungssystemen und Telekommunikationsausrüstung
- Unternehmen im Bereich sicherer Kommunikation, Halbleiter und Leistungsmodule
Diese Entwicklung unterstreicht die wachsende Bedrohung für kritische Infrastrukturen und industrielle Systeme durch Cyberangriffe. Unternehmen in den betroffenen Branchen sollten ihre Sicherheitsmaßnahmen dringend überprüfen und verstärken. Besonderes Augenmerk sollte auf Mitarbeiterschulungen zur Erkennung von Phishing-Mails, regelmäßige Software-Updates und die Implementierung mehrstufiger Authentifizierungssysteme gelegt werden. Nur durch eine ganzheitliche Cybersicherheitsstrategie können Unternehmen sich effektiv gegen die zunehmend raffinierten Angriffe von Gruppen wie den Librarian Ghouls schützen.