Earth Lusca – Neue Cyberspionage-Gruppe setzt auf Social-Engineering

Eine hochentwickelte Cyberspionage-Gruppe mit Verbindungen zu China nutzt Social-Engineering, um Cyberspionage und finanziell motivierte Angriffe durchzuführen, fanden die Forscher von Trend Micro heraus.

„Seit Mitte 2021 untersuchen wir einen ziemlich schwer fassbaren Bedrohungsakteur namens Earth Lusca, der Organisationen auf der ganzen Welt mit einer Kampagne angreift, die traditionelle Social-Engineering-Techniken wie Spear-Phishing und Watering-Holes einsetzt“, schreiben die Forscher. Bei ihren Angriffen scheint Cyberspionage die Hauptmotivation der Bedrohungsakteure zu sein. Zu ihren Opfern gehören kritische Ziele wie Regierungs- und Bildungseinrichtungen, religiöse Bewegungen, pro-demokratische und Menschenrechtsorganisationen in Hongkong und Covid-19-Forschungsorganisationen. Die Cyberkriminellen scheinen jedoch auch finanziell motiviert zu sein, da sie es auch auf Glücksspiel- und Kryptowährungsunternehmen abgesehen haben.

Die raffinierte Cyberspionage-Gruppe hat drei primäre Angriffsvektoren, von denen zwei Social-Engineering beinhalten, die Social-Engineering-Techniken können in Spear-Phishing-E-Mails und Watering-Hole-Websites unterteilt werden. In einem anderen Fall hat Earth Lusca Spear-Phishing-E-Mails mit bösartigen Links an eines seiner Ziele – ein Medienunternehmen – versendet. Darin enthalten sind Dateien, die als Dokumente getarnt sind, die für das potenzielle Opfer von großem Interesse sind. Der arglose Benutzer lädt schließlich eine Archivdatei herunter, die entweder eine bösartige LNK-Datei oder eine ausführbare Datei enthält – was schließlich zu einem Cobalt-Strike-Loader führt.

Außerdem nutzen die Cyberkriminellen auch Watering-Hole-Websites – sie kompromittieren entweder die Websites ihrer Ziele oder richten täuschend echte Websites ein, die von legitimen Seiten kopiert wurden, und platzieren dort dann bösartigen JavaScript-Code. Die Links zu diesen Websites werden dann an die potenziellen Opfer geschickt.

 

Security-Awareness als Schlüssel zur Verteidigung gegen Social-Engineering

Die effektivste Maßnahme zur proaktiven Verhinderung solcher Angriffe ist, bei den Mitarbeitern das Sicherheitsbewusstsein zu stärken. Dafür kann die Durchführung von Security-Awareness-Training das Fundament bilden. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Zunächst werden sogenannte Baseline-Tests durchgeführt, die es ermöglichen, den Anteil der für Phishing anfälligen Benutzer zu ermitteln. Zudem sollte man herausfinden, auf welche Art von Angriffen sie hereinfallen und auf welche nicht, um entsprechende Daten zur Messung des eintretenden Trainingserfolgs zu generieren.

Die internen Schulungen sollten regelmäßig wiederholt werden und die Ergebnisse auf einer Plattform gespeichert und analysiert werden, um die Inhalte zu vertiefen und den künftigen Lernprozess erfolgreich fortzusetzen. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als „menschliche Firewall“ geschult und eingesetzt werden.

#KnowBe4